Hlavní navigace

Možná se dostanete do cizí schránky na Centrum Mail, účty jsou ale prý v bezpečí

Daniel Dočekal 14. 6. 2013

Na webmailu Centrum Holdings se můžete ocitnout v cizí poštovní schránce a číst i posílat e-maily. Centrum Holdings ale odmítá, že by šlo o jejich problém.

Už v roce 2008 se objevil zdokumentovaný případ toho, ja se dostat na cizí poštovní schránky na Centrum.cz (viz Jak se dostat do cizího emailu? Centrum.cz vám pomůže…). A už tehdy se při kontaktu s technickou podporou uživatel dozvěděl, že „si má pročistit proxy server“ a setkal se s poněkud originální odezvou.

Čerstvý případ je starý několik dní a doprovází ho opět mírně neprofesionální komunikace s technickou podporou, která klasicky k ničemu nevedla. Technická podpora se problémem odmítla zabývat (redakce má kompletní záznam komunikace k dispozici).

U nas ale zadny vypadek nebo problem (ze by se prehazovalo prihlaseni nebo samovolne posilaly cizi cookies) nebyl, takze se tim nebudeme dale zabyvat.

Rozumějte tomu správně. Pokud máte ve firmě proxy server, nebo se kdekoliv přes proxy server připojujete, je možné, že se po přihlášení na webmail Centrum Holdings dostanete do cizí poštovní schránky. Budete moci číst cizí poštu i posílat e-maily za někoho jiného. Navíc jde o problém, který se projevuje minimálně od roku 2008.

Centrum Holdings problém odmítá

Oslovení Centrum Holdings vedlo k následující odpovědi, ve které Centrum Holdings zcela popírá (viz zvýrazněná věta), že by mohlo jít o technickou chybu na jejich straně. Zajímavé. Na druhou stranu, problémem se začali zabývat.

„Šetření na naší straně stále probíhá, ale z dosavadních poznatků vyplývá, že se v žádném případě nejedná o bezpečnostní problém způsobený návrhem aplikace Centrum webmail. 

K popsanému incidentu pravděpodobně došlo v situaci, kdy dva uživatelé na stejné síti, popřípadě na stejném počítači (v rámci různých uživatelských profilů), používají nevhodně nastavený proxy server, jenž kešuje požadavky, které by za žádných okolností kešovat neměl. Také je nutné, aby se jeden z uživatelů při ukončení práce s webmail neodhlásil, popřípadě měl zapnuté trvalé přihlášení a nesprávně nakešovaný token v url byl tedy stále platný. 

Výše uvedený bezpečnostní „incident“ se dá například přirovnat k situaci, kdy pošlu někomu, například přes IM nebo emailem, url odkaz s validním sessionID. V určitých velmi nestandardních situacích, kdy se všechny další pomocné proměnné shodují, bude daný odkaz považován za validní. Toto je ale obecný bezpečnostní problém, který se dá velice obtížně eliminovat, bez výrazného zásahu do uživatelského komfortu při práci s aplikací ( trvalé přihlášení, délka platnosti tokenu, apod…). Nicméně jedná se o velmi vzácnou událost, kterou navíc Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat. S postiženým uživatelem jsme v kontaktu a snažíme se problém debugovat."

O bezpečnost účtů se „uživatelé nemusejí obávat“

Na odpovědi je nejzábavnější závěr, tedy tvrzení, že „událost Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat“. Osobně s tím nedokážu souhlasit. Pokud se někdo zcela cizí může dostat do vaší poštovní schránky, tak se zcela jistě  musíte o bezpečnost svého účtu obávat.

Štěpánu Burdovi, IT řediteli Centrum Holdings, od kterého tato odpověď pochází, jsem odepsal, že podobnou odpověď lze těžko přijmout. V případě použití cookies pro udržení sezení (session) žádný proxy server nemůže vstoupit do hry. A nemožnost řešit tento problém by znamenala, že by podobnými problémy trpěl Facebook, Google a desítky dalších masově používaných služeb.

Štěpán Burda na to reagoval tím, že „naše argumentace je platná, víme, o čem mluvíme“. A také tím, že „Pokud se podíváte na většinu vyspělých mechanismů pro autorizaci, které například  musí řešit multidomain, friend server a cross site SSO, tak zjistíte, že cookies rozhodně není dostačující řešení. A proto nepoužíváme pouze cookies.

To lze jistě chápat. Co ale stále nelze chápat je to, že je možné se dostat do cizí poštovní schránky. A že Centrum Holdings to nepovažuje za něco, kde by se uživatelé mohli obávat o bezpečnost svých účtů.

Problém ale nakonec reprodukovali, takže možná…

Ale třeba nakonec vše dopadne. Poslední zpráva je: „Podařilo se nám již během dnešního dne zjistit, přes jakou proxy se postižený uživatel připojuje a dokonce jsme i viděli přenesení kešovaného sessionID (naši technici byli přímo na místě ve společnosti uživatele, kde k problémům došlo). V dalších dnech budeme s našimi techniky zjišťovat, jakým způsobem k problematickému chování dochází.“ 

EDIT 14.6. 13:25 – Centrum Holdings po publikování tohoto článku vydalo k případu stručné oficiální vyjádření, najdete je na firemním blogu.

WT100

Možná se tak nakonec ukáže, že ono „v žádném případě“ nebyla pravda. A Centrum Holdings po mnoha letech poskytne odpovídající úroveň zabezpečení svých poštovních účtů.

Do té doby si prostě dávejte pozor, vždy se při ukončení práce s poštou na Centrum Holdings důsledně odhlašujte, zásadně nepoužívejte žádné jejich pluginy či nástroje, které udrží trvalé „připojení“ v prohlížeči. Případně, což je možná také vhodné zvážit, zvolte webmail, který nabízí odpovídající úroveň zabezpečení vašeho účtu. 

Našli jste v článku chybu?
DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Ultra HD v praxi a v Portugalsku

Ultra HD v praxi a v Portugalsku

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?