Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

  18:17aktualizováno  18:17
Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť velmi nepohodlně - prohlédnout e-mailové adresy desetitisíců lidí. Správce webu po upozornění chybu opravil.

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů newsleteru | foto: Pavel Kasík, Technet.cz

Čtenář nás upozornil na velmi zajímavou ukázku děravého zabezpečení. Na webu chcemelepsicesko.cz (patří politické straně Andreje Babiše - ANO 2011), narazil na špatně navrženou stránku sloužící k odhlášení odběru e-mailů. V URL adrese bylo číslo, které zřejmě odpovídalo číslu daného registrovaného uživatele v databázi.

Protože adresa neobsahovala žádné další parametry (například jednorázový autorizační klíč nebo náhodný řetězec) a nevyžadovala ani žádné další ověření, mohl kdokoli odhlásit libovolné množství odběratelů. A co hůře, ve chvíli, kdy je kliknutím na tlačítko „Odhlásit odběr“ vyřadil ze seznamu, dozvěděl se i celou e-mailovou adresu tohoto fanouška, respektive odběratele newsletteru.

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Chybu se nám podařilo replikovat na několika náhodně zvolených číslech. Podle všeho šlo o reálné adresy uživatelů. Pokud by si někdo dal trochu práce, mohl by zřejmě skriptem odesílajícím automatické požadavky takto získat e-maily všech odběratelů (a zároveň jim zrušit odběr).

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

V podmínkách (nově upravených na základě GDPR) přitom provozovatel píše, že k osobním údajům „budou mít přístup pouze pověření zaměstnanci hnutí“ (myšleno Hnutí ANO 2011).

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Provozovatele jsme na uvedené adrese gdpr@anobudelip.cz kontaktovali s dotazem, jak k chybě došlo a jak obtížné bylo ji opravit. Odpověď jsme zatím nedostali, pokud nám dorazí později, do článku ji doplníme.

Provozovatel webu již tuto chybu odstranil

Provozovatel nicméně po našem dotazu (není jisté, zda na základě našeho dotazu) web upravil tak, že už po odhlášení nejsou vidět e-mailové adresy. Současná verze webu již neobsahuje patičku, loňská verze webu uváděla: „Zadavatel ANO 2011 a zpracovatel Digital Wizards,“ odkazující na ostravskou digitální agenturu.

Jak se chovat bezpečně na internetu?

Tato celkem nevýznamná epizoda by měla sloužit hlavně jako varování pro začínající i zkušené webmastery. I zdánlivě nevýznamná funkce, jako je odhlášení odběru newsletteru, musí být chápána jako zabezpečená komunikace. A žádná akce uživatele (nebo dokonce návštěvníka webu) nesmí dát přístup k datům jiného uživatele. V tomto případě by stačilo zabezpečit odkaz na odhlášení newsletteru jednorázovým unikátním klíčem, ze kterého nelze vyčíst původní adresu. Tak je zajištěno, že se nikdo nedostane k e-mailovým adresám ostatních a nikdo nemůže snadno odhlásit od odběru někoho jiného, k jehož e-mailu nemá přístup.

Autor:


Nejčtenější

Vdechl život zapomenuté technologii, na jeho hodiny je pořadník

Moderní digitrony jsou nádherným designovým prvkem.

Historická technologie ve zcela moderním precizním provedení. Digitronové hodiny „Nixie Clock“ Dalibora Farného slaví...

Tři sestry postmoderních válek popisuje antropolog Radan Haluzík

Tři sestry u kořene masové mobilizace postmoderních válek: vypjaté emoce,...

Proč šel soused do války? A proč jiní muži jdou zase vydělávat do ciziny a v rodné vesnici staví obrovské vily jako...



Obludná Škoda RSO z Mladé Boleslavi se nepovedla, navrhl ji Porsche

Vojenský tahač Škoda RSO (Radschlepper Ost) vyráběný v letech 1942 až 1944

Ne vše, na co sáhl génius Ferdinand Porsche, se povedlo. Ukázkovým příkladem je těžký kolový dělostřelecký tahač, který...

Lehké, rychlé a nebezpečné. Přichází éra moderních bojových bugin

Bojová bugina Carmor Mantis

V posledních měsících a letech si nešlo nevšimnout nástupu nové generace velmi lehkých bojových vozidel. Takzvané...

Prehistorický Google Earth. Zjistěte, kde byste byli před miliony let

Ancient Earth

3D mapa naší planety inspirovaná glóbem Google Earth vás zavede do minulosti. Projděte si jednotlivá historická období...

Další z rubriky

Instagram dá prostor videokreativitě. Umožní nahrát až hodinová videa

Logo Instagramu

Sociální síť Instagram se chystá rozšířit prostor pro nahrávání videí. Uživatelům umožní vložit až hodinová videa....

Prehistorický Google Earth. Zjistěte, kde byste byli před miliony let

Ancient Earth

3D mapa naší planety inspirovaná glóbem Google Earth vás zavede do minulosti. Projděte si jednotlivá historická období...

Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů...

Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť...

S tchánovci v jednom domě: Soužití nám zničilo vztahy
S tchánovci v jednom domě: Soužití nám zničilo vztahy

Příběh, který zažilo spoustu rodin a těžko se o něm mluví. Podaří se napravit vztahy, nebo soužití navždy rodinu zničí?

Najdete na iDNES.cz