Česká pošta neví, kde má datové schránky
Na Internetu se již objevily první „alternativy“ ke skutečným datovým schránkám. Česká pošta ve snaze před nimi varovat říká, že jediná správná adresa pro přihlášení k datovým schránkám je www.datoveschranky.info. Skutečné datové schránky ale běží na doméně mojedatovaschranka.cz. Došlo tedy k jejich „únosu“, nebo Česká pošta zase radí nesprávně?
První informace o tom, že na webu jsou dostupné jakési „alternativní“ datové schránky, se objevily v médiích již počátkem tohoto týdne (příklad), a zmíněny byly i v diskusích zde na Lupě. Pokud se na ně ale podíváme (viz následující dva obrázky, ukazující jejich „prvotní“ stav), pak klasický phishing moc nepřipomínají, protože jsou zcela odlišné od webových stránek skutečného informačního systému datových schránek. Nicméně i tak jim někdo mohl naletět (třeba i přes varování Firefoxu).
 |
 |
Místo pojednání o nebezpečích a nástrahách phishingu bych ale rád zdůraznil něco jiného, co jsem zde na Lupě zmiňoval již dříve: že autoři a provozovatelé datových schránek zcela ignorovali novodobou bezpečnostní zásadu, která velí dopředu „obsadit“ všechny podobné či nějak příbuzné domény – tak aby se zabránilo zřizování různých „alternativ“ na těchto podobných doménách.
Konference Czech Internet Fórum 2009
Český Internet v kostce pro telekomunikační i marketingové odborníky, taková je konference CIF 2009, která proběhne v Praze 12. listopadu 2009. Přinese ohlédnutí za uplynulým rokem, který poznamenala krize na všech frontách.
Na panelové diskusi „Souboj titánů“ se sejdou šéfové největších českých portálů, o Internetu v roce 2019 promluví šéfka českého Google Taťána le Moigne a o tom, jak udělat z malé firmy obra a získat pro něj investora, bude mluvit Ondřej Tomek, někdejší šéf Centrum.cz. To nejsou jediná lákadla konference CIF, její kompletní program najdete zde.
Ani Česká pošta, ani Ministerstvo vnitra (či třeba Telefónica jako systémový integrátor) ale nepovažovali za potřebné takovéto domény nějak obsadit či jinak zablokovat. A tak teď sklízíme ovoce tohoto jejich přístupu, když se ony „alternativy“ objevují na doménách jako www.datoveschranky.net, či www.datováschránka.info.
Je možné, že zřizovatel či provozovatel datových schránek reagoval na první „alternativy“ alespoň dodatečně. V mezidobí totiž došlo k určitým změnám, včetně odstranění přihlašovacích boxů či upřesnění toho, k čemu se uživatel přihlašuje, viz novější obrázky.
 |
 |
Ale hlavně: jako varování uživatelům datových schránek se na informačním portálu ISDS objevil následující text:
Není ale na tomto textu něco špatně? Obávám se, že ano, a to dost.
Schválně si to srovnejte s následujícím obrázkem, na kterém už je další krok: poté, co na web datových schránek vstoupím z inzerované adresy datoveschranky.info, dostávám se na přihlašovací formulář v úplně jiné doméně, a to mojedatovaschranka.cz.
Neměl bych se v tuto chvíli již chytat za hlavu a myslet si, že jsem se dostal na nějakou podvrženou stránku? Neměl bych volat na poplach a žhavit hot-line s informací že skutečné datové schránky byly někam „uneseny“?
Čtenářům Lupy asi není třeba připomínat, že skutečné datové schránky opravdu sídlí na doméně mojedatovaschranka.cz, a že tedy přesměrování z www.datoveschranky.info právě na tuto doménu není žádným bezpečnostním incidentem. Ale vůči širší uživatelské veřejnosti, která tuto informaci nemá, jde (podle mého názoru) o dosti nebezpečné matení.
Obávám se, že provozovatel datových schránek (Česká pošta) se zde stal sám obětí dosavadního „čachrování“ s doménami: tak dlouho se skutečná doména ISDS (tj. mojedatovaschranka.cz) před uživatelskou veřejností skrývala a tajila, a tak dlouho byl místo ní podstrkován informační web na www.datoveschranky.info (s proskokem na skutečný vstup do ISDS), až tomu zřejmě uvěřili i v České poště – a napsali, že jediná adresa pro přihlášení k datovým schránkám je www.datoveschranky.info. Má to snad znamenat, že skutečné přihlašovací stránky v doméně mojedatovaschranka.cz jsou „nesprávné“ a je třeba se jim vyhnout?
Rád bych touto cestou vyzval Českou poštu k tomu, aby své varování opravila, v tom smyslu, že
… přihlášení do datové schránky (i chod celého webového portálu ISDS) se odehrává na doméně mojedatovaschranka.cz …
Pokud je „proskok“ přes www.datoveschranky.info myšlen jako nějaký doporučený výchozí bod, prosím – ale ať je to také takto uvedeno a ať je uživatel seznámen s tou zásadní skutečností, že bude ihned přesměrován do úplně jiné domény, do které se ostatně může dostat i jinak. Například přímým zadáním (té správné) adresy do svého browseru, viz obrázek:
Anketa
Jak hodnotíte popisované varování České pošty?
Související odkazy
Školení Google+ pro firmy
- Jak využít Google+ pro firemní komunikaci a marketing.
- Čím se liší Google+ od Twitteru a Facebooku z pohledu firemního využití.
- Jak využít Google+ v souladu s pravidly užívání.
- Založení Google+ Page (Stránky) krok po kroku, včetně praktických tipů.
Detailní informace o školení Google+ »
Přehled názorů
Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.
Právo na zapomnění a právo na přenositelnost dat?
Proč byl včera Internet v černém?
Zaměstnanci? Pro firmy bezpečnostní problém číslo jedna
Novoroční pohádka o nadnárodním nezvládnutí aneb není IT jako IT
Výhled 2012: Útoky a podvody v moderním podání
Jindra Toliman 
Pavel Navrátil 
