Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

  18:17aktualizováno  18:17
Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť velmi nepohodlně - prohlédnout e-mailové adresy desetitisíců lidí. Správce webu po upozornění chybu opravil.

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů newsleteru | foto: Pavel Kasík, Technet.cz

Čtenář nás upozornil na velmi zajímavou ukázku děravého zabezpečení. Na webu chcemelepsicesko.cz (patří politické straně Andreje Babiše - ANO 2011), narazil na špatně navrženou stránku sloužící k odhlášení odběru e-mailů. V URL adrese bylo číslo, které zřejmě odpovídalo číslu daného registrovaného uživatele v databázi.

Protože adresa neobsahovala žádné další parametry (například jednorázový autorizační klíč nebo náhodný řetězec) a nevyžadovala ani žádné další ověření, mohl kdokoli odhlásit libovolné množství odběratelů. A co hůře, ve chvíli, kdy je kliknutím na tlačítko „Odhlásit odběr“ vyřadil ze seznamu, dozvěděl se i celou e-mailovou adresu tohoto fanouška, respektive odběratele newsletteru.

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Chybu se nám podařilo replikovat na několika náhodně zvolených číslech. Podle všeho šlo o reálné adresy uživatelů. Pokud by si někdo dal trochu práce, mohl by zřejmě skriptem odesílajícím automatické požadavky takto získat e-maily všech odběratelů (a zároveň jim zrušit odběr).

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

V podmínkách (nově upravených na základě GDPR) přitom provozovatel píše, že k osobním údajům „budou mít přístup pouze pověření zaměstnanci hnutí“ (myšleno Hnutí ANO 2011).

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Provozovatele jsme na uvedené adrese gdpr@anobudelip.cz kontaktovali s dotazem, jak k chybě došlo a jak obtížné bylo ji opravit. Odpověď jsme zatím nedostali, pokud nám dorazí později, do článku ji doplníme.

Provozovatel webu již tuto chybu odstranil

Provozovatel nicméně po našem dotazu (není jisté, zda na základě našeho dotazu) web upravil tak, že už po odhlášení nejsou vidět e-mailové adresy. Současná verze webu již neobsahuje patičku, loňská verze webu uváděla: „Zadavatel ANO 2011 a zpracovatel Digital Wizards,“ odkazující na ostravskou digitální agenturu. Ta se ovšem od nového webu jednoznačně distancovala: „Přerušili jsme spolupráci s ANO, a práci přebrala jiná agentura. Ta náš web přepsala, a bohužel ne úplně vydařeně,“ uvedl Michal Čerbák ve zprávě redakci.

Jak se chovat bezpečně na internetu?

Tato celkem nevýznamná epizoda by měla sloužit hlavně jako varování pro začínající i zkušené webmastery. I zdánlivě nevýznamná funkce, jako je odhlášení odběru newsletteru, musí být chápána jako zabezpečená komunikace. A žádná akce uživatele (nebo dokonce návštěvníka webu) nesmí dát přístup k datům jiného uživatele. V tomto případě by stačilo zabezpečit odkaz na odhlášení newsletteru jednorázovým unikátním klíčem, ze kterého nelze vyčíst původní adresu. Tak je zajištěno, že se nikdo nedostane k e-mailovým adresám ostatních a nikdo nemůže snadno odhlásit od odběru někoho jiného, k jehož e-mailu nemá přístup.

Autor:


Nejčtenější

Nové iPhony Xs budou stát až 43 500 korun. Do Česka dorazí 29. září

Matura Jan: Online #7043

Apple na akci Apple Keynote 2018 představil tři nové iPhony. Nástupce modelu X se jmenuje Xs, zvětšená varianta pak Xs...

Ve dveřích se ohlédl a usmál. Na co nezapomene česká prokurátorka v Haagu

Anna Richterová v době, kdy pracovala pro tribunál v Den Haagu. Snímek je z...

Prokurátorka Anna Richterová je jedinou Češkou, která pracovala u mezinárodního tribunálu pro vyšetřování zločinů v...



Kennedyho sestru Rosemary zničili ambiciozní rodiče lobotomií

Kennedyho sestru zničili ambiciozní rodiče lobotomií

13. září 1918 se narodila Rosemary Kennedyová, sestra prezidenta Johna Fitzgeralda Kennedyho. Od dětství s ní byly...

Obří Ruslan přistál v Praze. Sledovali jste v přímém přenosu na Slow TV

Antonov AN-124 100 Ruslan přistává v 11.9. v Praze.

Z Pardubic do Prahy má přiletět jedno z největších letadel světa Antonov An-124 100 zvaný Ruslan. Stroj krátce po šesté...

Díru do ISS mohli navrtat Američané, tvrdila ruská média

Mezinárodní kosmická stanice ISS.

Američtí astronauti jsou podle ruské agentury Roskosmos nejpravděpodobnějšími viníky incidentu na ISS, při němž na...

Další z rubriky

Facebook nově kontroluje fotografie a videa, zda nejsou falešná

Logo společnosti Facebook

Facebook rozšiřuje své kontrolní mechanismy na boj s falešnými zprávami o fotografie i videa.

Pozice Windows se v Microsoftu mění. Firma chystá reorganizaci

Viceprezident Microsoftu Terry Myerson na tiskové konferenci

Microsoft se chystá po říjnovém uvedení další velké aktualizace Windows změnit tým, který se o tento operační systém...

Nevolnost, radiace, psychika. Na co se musí připravit vesmírní turisté?

Prvním vesmírným turistou, který se vydá na oběžnou dráhu kolem Měsíce, bude...

Za pět let by se měl na orbit kolem Měsíce vydat Japonec Júsaku Maezawa. Do té doby musí on i lékaři připravit jeho...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz