Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

  18:17aktualizováno  18:17
Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť velmi nepohodlně - prohlédnout e-mailové adresy desetitisíců lidí. Správce webu po upozornění chybu opravil.

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů newsleteru | foto: Pavel Kasík, Technet.cz

Čtenář nás upozornil na velmi zajímavou ukázku děravého zabezpečení. Na webu chcemelepsicesko.cz (patří politické straně Andreje Babiše - ANO 2011), narazil na špatně navrženou stránku sloužící k odhlášení odběru e-mailů. V URL adrese bylo číslo, které zřejmě odpovídalo číslu daného registrovaného uživatele v databázi.

Protože adresa neobsahovala žádné další parametry (například jednorázový autorizační klíč nebo náhodný řetězec) a nevyžadovala ani žádné další ověření, mohl kdokoli odhlásit libovolné množství odběratelů. A co hůře, ve chvíli, kdy je kliknutím na tlačítko „Odhlásit odběr“ vyřadil ze seznamu, dozvěděl se i celou e-mailovou adresu tohoto fanouška, respektive odběratele newsletteru.

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Chybu se nám podařilo replikovat na několika náhodně zvolených číslech. Podle všeho šlo o reálné adresy uživatelů. Pokud by si někdo dal trochu práce, mohl by zřejmě skriptem odesílajícím automatické požadavky takto získat e-maily všech odběratelů (a zároveň jim zrušit odběr).

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

V podmínkách (nově upravených na základě GDPR) přitom provozovatel píše, že k osobním údajům „budou mít přístup pouze pověření zaměstnanci hnutí“ (myšleno Hnutí ANO 2011).

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Provozovatele jsme na uvedené adrese gdpr@anobudelip.cz kontaktovali s dotazem, jak k chybě došlo a jak obtížné bylo ji opravit. Odpověď jsme zatím nedostali, pokud nám dorazí později, do článku ji doplníme.

Provozovatel webu již tuto chybu odstranil

Provozovatel nicméně po našem dotazu (není jisté, zda na základě našeho dotazu) web upravil tak, že už po odhlášení nejsou vidět e-mailové adresy. Současná verze webu již neobsahuje patičku, loňská verze webu uváděla: „Zadavatel ANO 2011 a zpracovatel Digital Wizards,“ odkazující na ostravskou digitální agenturu. Ta se ovšem od nového webu jednoznačně distancovala: „Přerušili jsme spolupráci s ANO, a práci přebrala jiná agentura. Ta náš web přepsala, a bohužel ne úplně vydařeně,“ uvedl Michal Čerbák ve zprávě redakci.

Jak se chovat bezpečně na internetu?

Tato celkem nevýznamná epizoda by měla sloužit hlavně jako varování pro začínající i zkušené webmastery. I zdánlivě nevýznamná funkce, jako je odhlášení odběru newsletteru, musí být chápána jako zabezpečená komunikace. A žádná akce uživatele (nebo dokonce návštěvníka webu) nesmí dát přístup k datům jiného uživatele. V tomto případě by stačilo zabezpečit odkaz na odhlášení newsletteru jednorázovým unikátním klíčem, ze kterého nelze vyčíst původní adresu. Tak je zajištěno, že se nikdo nedostane k e-mailovým adresám ostatních a nikdo nemůže snadno odhlásit od odběru někoho jiného, k jehož e-mailu nemá přístup.

Autor:

Nejčtenější

Kolem právě prolétli mimozemšťané, říkají vědci. Vyvrátit jim to nelze

Rekonstrukce možné podoby planetky 1I/2017 U1 (‘Oumuamua) na základě údajů...

První objekt od jiné hvězdy zachycený pozemskými teleskopy by podle naměřených parametrů mohl být sluneční plachetnicí,...

Vyšší lidé trpí častěji řadou rakovin. Důvod je zřejmě zcela triviální

Kolorovaný snímek rakovinových buněk z elektronového mikroskopu

Pravděpodobnost vzniku rakoviny je větší u lidí vyššího vzrůstu. A to zřejmě proto, že mají v těle více buněk,...

Republikáni přebarvili USA pomocí chytrého plánu. Nenápadně a legálně

Jak se republikánům podařilo přebarvit mapu USA na červeno...

Přestože voličů demokratů je v USA už deset let více, republikánská strana má většinu v obou komorách parlamentu. Za...

Konec dvojích cen. Evropské e-shopy už Čechům nebudou účtovat přirážku

Ilustrační snímek

Na začátku prosince začne platit nařízení Evropské unie, které zakazuje internetovým obchodům považovat zákazníka z...

Okřídlení géniové. Vrány si při pokusu zvládly vyrobit složené nástroje

Vrány se ukazují jako stále chytřejší a chytřejší.

Nový experiment naznačuje, že bychom měli přehodnotit rčení chytrý jako liška na chytrý jako vrána. Skupina...

Další z rubriky

Rusko oznámilo, že selhal jeden z počítačů na Mezinárodní vesmírné stanici

ISS čeká na oběžné dráze

Jeden ze tří počítačů v ruské části ISS selhal a ruská kosmická agentura se jej pokusí na dálku restartovat.

Američané získali práva na opravu traktorů. Mohou i "hackovat"

Ilustrační snímek

Přelomová změna pravidel Patentového úřadu USA zajistí spotřebitelům právo na opravu a „odblokování“ vlastního...

Fotoslužba Flickr omezí prostor zdarma. Místo terabajtu dá 1 000 fotek

Přihlašovací stránka Flickru

Pokud jste někdy použili pro uložení fotografií službu Flickr, pak si zkontrolujte, zda tam náhodou nemáte více než 1...

Najdete na iDNES.cz