Hlavní navigace

eCity - hra s našimi osobními údaji?

21. 3. 1999
Doba čtení: 5 minut

Sdílet

Virtuální život virtuálního města eCity provází řada problémů a aférek. Jedna z nich je právě na světě: našemu spolupracovníkovi se podařilo odhalit způsob, jak k libovolnému klientskému číslu v eCity spočítat PIN. Chcete se to ověřit? Ale prosím...

Virtuální život virtuálního města eCity provází řada problémů a aférek. Jedna z nich je právě na světě: našemu spolupracovníkovi se podařilo odhalit způsob, jak k libovolnému klientskému číslu v eCity spočítat PIN. Chcete se to ověřit? Ale prosím…

Před několika dny mi můj šéf nasadil brouka do hlavy. Upozornil mne totiž na fakt, že jsem – stejně jako mnoho dalších obyvatel eCity – při registraci musel zadat skutečné údaje o sobě (jméno, adresu, e-mail, číslo mobilního telefonu…) a že si vlastně nemohu být vůbec jistý, kdo všechno je dostane a využije. Zahájil jsem tedy takový malý výzkum v této oblasti a myslím, že ostatní obyvatele eCity budou výsledky, ke kterým jsem dospěl, zajímat…

Nejprve malý průzkum na www.ecity.cz, v oddílu Pravidla:

  • „Provozovatelem města eCity je na základě pověření všech organizátorů eCity Expandia Banka“. Expandia Banka má tedy v držení všechny naše osobní údaje.
  • „Veškerá data mají sloužit k zasílání zpráv, kupónů či výher. Zájmem organizátorů není plýtvat prostředky směrem k neexistujícím mobilním telefonům, e-mailům a fiktivním kontaktním adresám“. Tedy požadavek na uvedení správných, platných údajů, ze kterých bude možno vytvořit rozsáhlou databázi lidí, aktivně používajících Internet, včetně adres, e-mailů a čísel mobilních telefonů, za účelem komerčního využití. Nikde ani slovo o tom, že by se ono „zasílání zpráv, kupónů či výher“ vztahovalo pouze na akci „eCity“ (!)
  • Ohledně způsobu nakládání s našimi osobními údaji či možnosti jejich poskytnutí třetím stranám není nikde ani slovo.

Tedy, pro někoho tak paranoidního jako já nic povzbudivého. Zeptal jsem se tedy v chatu eMana, co si o tom myslí.

Bylo mi řečeno, že naše osobní údaje považuje za bankovní tajemství a že není v zájmu Expandia Banky naše osobní údaje zneužívat. Expandia Banka prý nikomu naše údaje nepředá. Pokud jde o rozesílané materiály od sponzorů, posílá je prý Expandia Banka sama. Takže v této oblati je zdá se všechno v nejlepším pořádku.

Ale neradujte se – věc má totiž ještě jednu stránku. Nemohl by si někdo úplně jiný přes Internet naše osobní údaje prostě zjistit? Odpověď zní bohužel – ANO. Problém je totiž v demo eBance. Pokud se přihlašujete do demo eBanky, potřebujete své klientské číslo a PIN, který zadáte do appletu napodobujícího „kalkulačku“ ActivCard, která se používá ve skutečné Expandia Bance jako klíč k autorizaci transakcí. Applet vám pak ukáže autorizační kód, pomocí kterého se dostanete dovnitř ke svému účtu. A tady je zakopaný pes – PIN je totiž odvozeno od klientského čísla. Analýzou tohoto appletu lze zjistit, jaký je PIN pro dané klientské číslo. To v praxi znamená, že kdokoliv se může zcela normálně přihlásit na váš účet, zjistit si údaje, které tam o vás jsou, a manipulovat s vašimi ePenězi, jak se mu zlíbí! Stačí dát „vlastnosti účtu“/„Adresář“ a máte to. Je zajímavé, že většina klientů nemá v adrese uvedenu ulici – já však ano. Zřejmě je registrační procedura jiná, pokud používáte skutečná klientská čísla z Expandia Banky (při registraci v eCity jste zadali své klientské číslo) a ne klientské číslo vygenerované při registraci v eCity.

Tak tomuhle nelze říkat bezpečnost ani náhodou. Možná si autoři mysleli, že když je to jen demo, nemusí být bezpečné – pak ovšem v tomto demu nemají naše osobní údaje co dělat! Tento stav trvá zřejmě už od začátku existence demo eBanky – tedy žádná novinka! Naše osobní data už mohl kdokoli vyluxovat, a možná už také vyluxoval. Zajímalo by mě, jestli je něco takového dohledatelné… nehledě na to, že jsem se při pokusech opakovaně, bez jakéhokoliv pokusu zastřít svou IP adresu, přihlašoval na neexistující účty zcela korektním autorizačním kódem a nic se nestalo – logují se vůbec takové zcela podezřelé aktivity?

Tato situace se mi jeví jako neuspokojivá – jednak z důvodu možného zneužití osobních údajů, jednak jako přímé nebezpečí pro eCity. Dovedete si jistě představit náladu takového obyvatele eCity, když mu najednou z účtu zmizí všechny EKorunky, nemluvě o tom že ho pak budete těžko přesvědčovat o tom, že ve skutečnosti něco takového možné není… Abych zjednal nápravu této situace, poslal jsem v pátek 19.3.1999 Expandia Bance email, ve kterém upozorňuji na tuto situaci. A abych se pojistil, že s tím opravdu něco udělají, tady je malá hračka hračka pro vás.

Předpokládám, že nyní už tahle věcička k ničemu dobrá nebude, tedy jestli jsou zaměstnanci Expandia Banky takoví profesionálové, jak se nás snaží přesvědčit.
Každopádně si můžete alespoň ověřit že tomu tak ještě nedávno bylo – zadejte své klientské číslo a porovnejte PIN s tím, které vám bylo sděleno při registraci účtu.
Pokud chcete zkusit nějaká jiná klientská čísla, jsou zde dvě skupiny:

  • Ti, kdo už mají účet ve skutečné Expandia Bance a zadali své klientské číslo při registraci v eCity, ho mají stejné jako ve skutečnosti (začíná pravděpodobně 06564×xxxx)
  • Ostatní mají sekvenčně přidělena čísla kolem 08010×xxxx – zkuste pátrat o několik čísel kolem vašeho čísla.

A pokud si náhodou myslíte, že účet v eBance / eCity lze snadno zrušit, budiž vám příkladem můj kolega Michal, který o zrušení účtu žadonil v chatu, emailem i telefonicky drahnou dobu a nakonec mu bylo řečeno, že to prostě není možné… nepomůže ani změna registrace v eCity, protože změna se nepřenese do eBanky (omylem jsem zadal špatně adresu a i když jsem ji opravil, změna se do demo eBanky nepřenesla).

Jan Hlavatý


Poznámka pod čarou: Popsaná bezpečnostní díra byla autorovi článku známa od poloviny minulého týdne, definitivní verzi článku jsem dostal v pátek s tím, že bude zveřejněna v pondělním vydání. Tvůrci eCity byli současně upozorněni na to, že zde tato možnost průniku existuje a v sobotu zhruba v 17:00 ji skutečně zacelili tím, že vedle PIN při vstupu do eBanky začal systém vyžadovat i heslo. Ani nyní však nepřiznali, že se jednalo o díru, nově vyžadované heslo označují jen za zvýšení bezpečnosti přístupu, který byl však bezpečný i dříve. Nebyl, což si můžete ověřit sami.

Spolu s autorem článku doufám, že se tvůrci eCity budou otázkám bezpečnosti i nadále věnovat a poskytnou nám o tom informace.

BRAND24

Marek Antoš


Starší, související články:

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).