Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

  18:17aktualizováno  18:17
Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť velmi nepohodlně - prohlédnout e-mailové adresy desetitisíců lidí. Správce webu po upozornění chybu opravil.

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů newsleteru | foto: Pavel Kasík, Technet.cz

Čtenář nás upozornil na velmi zajímavou ukázku děravého zabezpečení. Na webu chcemelepsicesko.cz (patří politické straně Andreje Babiše - ANO 2011), narazil na špatně navrženou stránku sloužící k odhlášení odběru e-mailů. V URL adrese bylo číslo, které zřejmě odpovídalo číslu daného registrovaného uživatele v databázi.

Protože adresa neobsahovala žádné další parametry (například jednorázový autorizační klíč nebo náhodný řetězec) a nevyžadovala ani žádné další ověření, mohl kdokoli odhlásit libovolné množství odběratelů. A co hůře, ve chvíli, kdy je kliknutím na tlačítko „Odhlásit odběr“ vyřadil ze seznamu, dozvěděl se i celou e-mailovou adresu tohoto fanouška, respektive odběratele newsletteru.

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Chybu se nám podařilo replikovat na několika náhodně zvolených číslech. Podle všeho šlo o reálné adresy uživatelů. Pokud by si někdo dal trochu práce, mohl by zřejmě skriptem odesílajícím automatické požadavky takto získat e-maily všech odběratelů (a zároveň jim zrušit odběr).

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

V podmínkách (nově upravených na základě GDPR) přitom provozovatel píše, že k osobním údajům „budou mít přístup pouze pověření zaměstnanci hnutí“ (myšleno Hnutí ANO 2011).

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Provozovatele jsme na uvedené adrese gdpr@anobudelip.cz kontaktovali s dotazem, jak k chybě došlo a jak obtížné bylo ji opravit. Odpověď jsme zatím nedostali, pokud nám dorazí později, do článku ji doplníme.

Provozovatel webu již tuto chybu odstranil

Provozovatel nicméně po našem dotazu (není jisté, zda na základě našeho dotazu) web upravil tak, že už po odhlášení nejsou vidět e-mailové adresy. Současná verze webu již neobsahuje patičku, loňská verze webu uváděla: „Zadavatel ANO 2011 a zpracovatel Digital Wizards,“ odkazující na ostravskou digitální agenturu.

Jak se chovat bezpečně na internetu?

Tato celkem nevýznamná epizoda by měla sloužit hlavně jako varování pro začínající i zkušené webmastery. I zdánlivě nevýznamná funkce, jako je odhlášení odběru newsletteru, musí být chápána jako zabezpečená komunikace. A žádná akce uživatele (nebo dokonce návštěvníka webu) nesmí dát přístup k datům jiného uživatele. V tomto případě by stačilo zabezpečit odkaz na odhlášení newsletteru jednorázovým unikátním klíčem, ze kterého nelze vyčíst původní adresu. Tak je zajištěno, že se nikdo nedostane k e-mailovým adresám ostatních a nikdo nemůže snadno odhlásit od odběru někoho jiného, k jehož e-mailu nemá přístup.

Autor:


Nejčtenější

Vdechl život zapomenuté technologii, na jeho hodiny je pořadník

Moderní digitrony jsou nádherným designovým prvkem.

Historická technologie ve zcela moderním precizním provedení. Digitronové hodiny „Nixie Clock“ Dalibora Farného slaví...

Byl to nejbohatší šlechtic své doby, teď archeologové objevili jeho hrobku

Díváte se na takzvaný radarogram. To je výstup z měření georadarem na profilu...

V následujících dnech se dozvíme, zda tušení týmu českých archeologů, že objevili dosud neznámou hrobku nejbohatšího...



Fascinující paradox: český kutil vyrábí funkční parní stroje ze skla

Skleněné parní stroje z dílny Michala Zahradníka

Michal Zahradník je český sklář osmé generace. Od roku 1991 kromě obvyklých sklářských výrobků ve své dílně vyrábí i...

Eurotank bude německo-francouzský hybrid. Demonstrátor už jezdí a střílí

EMBT je hybrid mezi tanky Leopard 2 a Leclerc

Až 5000 tanků v hodnotě 75 miliard eur by měly dle německých prognóz nakoupit v příštích 20 až 30 letech evropské...

YouTube jako továrna na peníze. Jak na tomto portálu funguje reklama?

YouTube jako továrna na peníze

Vše se točí kolem peněz a na YouTube to není jinak. Jenže když se do reklamního kolotoče zamotají morálka a etika, může...

Další z rubriky

Intel svou první moderní samostatnou grafickou kartu nabídne v roce 2020

Intel po integrovaných grafikách přijde i se samostatnými.

Práce na neintegrované grafické kartě společnosti Intel by měly být hotovy do dvou let.

Umělá inteligence odhadne, kdy zemřete. Lékaři ji začínají používat

Ilustrační fotografie

Chytré algoritmy se zavádějí i do medicíny. Specializovaná umělá inteligence rychle zanalyzuje anamnézu pacienta a...

Prehistorický Google Earth. Zjistěte, kde byste byli před miliony let

Ancient Earth

3D mapa naší planety inspirovaná glóbem Google Earth vás zavede do minulosti. Projděte si jednotlivá historická období...

Najdete na iDNES.cz