Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


E-maily na Centrum.cz se dají zneužít pro sledování

  11:00aktualizováno  11:00
Chcete koupit například auto a hledáte výhodnou nabídku. Na stránkách autobazaru si nevyberete. V okamžiku vám však právě z tohoto autobazaru přijde mail s nabídkou nižší ceny. Náhoda?

E-mailové adresy zřízené na serveru Centrum.cz nejsou dostatečně chráněny a  jsou lehce získatelné třetí osobou. Redakce Technet.cz má k dispozici jednoduchý skript, který po umístění na jakékoliv webové stránky odhalí e-mail návštěvníka přicházejícího ze stránek Centrum.cz.

Tímto způsobem je například možné přesně vyhodnocovat chování konkrétního uživatele, stopovat jeho pohyb na upravené webové stránce a následně mu posílat cílené reklamní e-maily.

Za normálních okolností nemá provozovatel stránek k informacím o e-mailu návštěvníka přístup. Řešení portálu Centrum.cz však prozrazení adresy umožňuje. Přiznává to i samotné Centrum.cz. „Systém kódování (hashovaní) je na službě email od úplného začátku provozu Centra. Použité řešení je originální a z mnohých pohledů neobvyklé. Při jeho tvorbě jsme v první řadě hleděli na bezpečnost. Proto se např. nepoužívají cookies, které jsou rizikem při použití počítače jiným uživatelem a podobně,“ vysvětluje jednatel společnosti NetCentrum Oldřich Bajer.

Právě nedostatečné kódování informací, jako je například přezdívka uživatele, je příčinou zmíněného problému. „Údaje o přezdívce, ze které je zjistitelná i e-mailová adresa, se přenášejí nešifrované přímo v adrese stránky,“ říká softwarový analytik Roman Neuhauser. Při přechodu mezi stránkami totiž prohlížeč mezi jinými informacemi serveru předává i adresu předchozí navštívené stránky - a v ní tedy i přezdívku uživatele.

Pokud je tedy majitel e-mailového účtu na Centrum.cz právě přihlášen a ze stránek Centra přejde na skriptem upravené stránky, jejich majitel okamžitě zná jeho e-mailovou adresu.

Konkurenční e-mailové služby popsaný způsob zneužití neumožňují.  Systém při kterém je přezdívka přihlášeného uživatele v nezakódovaném tvaru přímo v adrese služeb webového rozhraní (v takzvaném refereru), je poměrně neobvyklý. U jiných českých freemailů se tato diskutabilní vlastnost nevyskytuje.

Seznam.cz a Atlas.cz sice trvalé přihlášení umožňují, ale uživatelské jméno v nekódované podobě nepředávají. A například portál Volný.cz při přechodu z emailu do vyhledávání uživatele automaticky odhlásí. Ani v jeho vnitřních adresách se uživatelova přezdívka v čitelném tvaru nevyskytuje.

Hrozí nebezpečí?

Centrum.cz problém bagatelizuje. „Nepovažujeme to za problém. Kdyby to problém byl, již bychom jej odstranili,“ odpovídá Oldřich Bajer na dotaz, zda riziko zneužití považuje za vážné. „V současnosti náš email používá již více než milion lidí. Od žádného z nich však nemáme zprávy či upozornění o nedovoleném vniknutí do schránky popsaným způsobem,“ doplňuje Bajer.

„Nejedná se o bezprostřední bezpečnostní problém, nicméně možnost zneužití zde je. Centrum.cz tímto způsobem může šířit e-mailové adresy svých klientů třetím stranám. Uživatelé pak mohou být vystavení nevyžádané poště, virům a podobně," upozorňuje na možná rizika Roman Neuhauser. Jako obranu proti možnému úniku adresy doporučuje Neuhauser včasné odhlášení ze služby e-mail před dalším pohybem po webu. Faktem však je, že většina uživatelů se při odchodu z e-mailové služby neodhlásí.

Další podrobné informace naleznete v tomto článku na Technet.cz. Zde si také můžete celý způsob zneužití vyzkoušet.



Nejčtenější

„Tak mě zastřel!“ vykřikl ruský voják a zavraždil šestnáctiletého kluka

Vražedná zbraň. Touto pistolí Stečkin APS zastřelil opilý ruský voják Rudněv v...

„Teď v Československu platí sovětské zákony,“ řekl ruský generál vyšetřovatel Veřejné bezpečnosti, když pátrali po...

Zabil je výbuch ruského tanku v centru Prahy. KSČ ničila životy pozůstalým

Tanky typové řady T-54/55, ten blíž k fotografovi evidentně neschopný pohybu,...

Zatímco na pražské Vinohradské třídě hořel a vybuchoval tank, zmatení ruští vojáci na Václavském náměstí zahájili palbu...



Tento pancíř dá tankistům pocit bezpečí a jistoty. Ale bude to stačit?

SMART PROTech na tanku Leopard 2

Německá firma IBD Deisenroth Engineering (IBD) představila prototyp balistické ochrany SMART PROTech pro obrněná...

Úspěšný start. Sonda míří ke Slunci tak blízko, jako žádná předtím

Úspěšný start rakety Delta IV Heavy 12.8.2018 v 9:31 se sondou Parker Solar...

V neděli ráno se ke Slunci vydala unikátní sonda Parker Solar Probe. Měla by se přiblížit k naší hvězdě podstatně blíže...

Horký nápoj vás ve vedru ochladí lépe, zjistili vědci. Ale má to háček

Horký nápoj v horkém létě?

Biologie lidského těla někdy funguje přesně naopak, než by člověk čekal. Příkladem je pití horkých nápojů v létě. Zní...

Další z rubriky

Google vás šmíruje, i když mu to zakážete. Na webu o tom dokonce lže

Google zaznamenal Historii polohy i po jejím vypnutí v menu

Kdo nechce, aby se zaznamenávala jeho poloha, zpravidla si v zařízení se systémem Android deaktivuje ukládání Historie...

Spotify testuje neomezené přeskakování reklam pro neplatiče

Aplikace Spotify.

Australští uživatelé hudební aplikace Spotify si mohou vyzkoušet přeskakování reklam. Příjemnou novinku firma...

Slavný konspirační teoretik narazil. Blokují ho Facebook, Apple i YouTube

Alex Jones

Americký komentátor Alex Jones, známý svými pořady propagujícími konspirační teorie, možná přijde o část svého dosahu....

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz