Hlavní navigace

Možná se dostanete do cizí schránky na Centrum Mail, účty jsou ale prý v bezpečí

Daniel Dočekal 14. 6. 2013

Na webmailu Centrum Holdings se můžete ocitnout v cizí poštovní schránce a číst i posílat e-maily. Centrum Holdings ale odmítá, že by šlo o jejich problém.

Už v roce 2008 se objevil zdokumentovaný případ toho, ja se dostat na cizí poštovní schránky na Centrum.cz (viz Jak se dostat do cizího emailu? Centrum.cz vám pomůže…). A už tehdy se při kontaktu s technickou podporou uživatel dozvěděl, že „si má pročistit proxy server“ a setkal se s poněkud originální odezvou.

Čerstvý případ je starý několik dní a doprovází ho opět mírně neprofesionální komunikace s technickou podporou, která klasicky k ničemu nevedla. Technická podpora se problémem odmítla zabývat (redakce má kompletní záznam komunikace k dispozici).

U nas ale zadny vypadek nebo problem (ze by se prehazovalo prihlaseni nebo samovolne posilaly cizi cookies) nebyl, takze se tim nebudeme dale zabyvat.

Rozumějte tomu správně. Pokud máte ve firmě proxy server, nebo se kdekoliv přes proxy server připojujete, je možné, že se po přihlášení na webmail Centrum Holdings dostanete do cizí poštovní schránky. Budete moci číst cizí poštu i posílat e-maily za někoho jiného. Navíc jde o problém, který se projevuje minimálně od roku 2008.

Centrum Holdings problém odmítá

Oslovení Centrum Holdings vedlo k následující odpovědi, ve které Centrum Holdings zcela popírá (viz zvýrazněná věta), že by mohlo jít o technickou chybu na jejich straně. Zajímavé. Na druhou stranu, problémem se začali zabývat.

„Šetření na naší straně stále probíhá, ale z dosavadních poznatků vyplývá, že se v žádném případě nejedná o bezpečnostní problém způsobený návrhem aplikace Centrum webmail. 

K popsanému incidentu pravděpodobně došlo v situaci, kdy dva uživatelé na stejné síti, popřípadě na stejném počítači (v rámci různých uživatelských profilů), používají nevhodně nastavený proxy server, jenž kešuje požadavky, které by za žádných okolností kešovat neměl. Také je nutné, aby se jeden z uživatelů při ukončení práce s webmail neodhlásil, popřípadě měl zapnuté trvalé přihlášení a nesprávně nakešovaný token v url byl tedy stále platný. 

Výše uvedený bezpečnostní „incident“ se dá například přirovnat k situaci, kdy pošlu někomu, například přes IM nebo emailem, url odkaz s validním sessionID. V určitých velmi nestandardních situacích, kdy se všechny další pomocné proměnné shodují, bude daný odkaz považován za validní. Toto je ale obecný bezpečnostní problém, který se dá velice obtížně eliminovat, bez výrazného zásahu do uživatelského komfortu při práci s aplikací ( trvalé přihlášení, délka platnosti tokenu, apod…). Nicméně jedná se o velmi vzácnou událost, kterou navíc Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat. S postiženým uživatelem jsme v kontaktu a snažíme se problém debugovat."

O bezpečnost účtů se „uživatelé nemusejí obávat“

Na odpovědi je nejzábavnější závěr, tedy tvrzení, že „událost Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat“. Osobně s tím nedokážu souhlasit. Pokud se někdo zcela cizí může dostat do vaší poštovní schránky, tak se zcela jistě  musíte o bezpečnost svého účtu obávat.

Štěpánu Burdovi, IT řediteli Centrum Holdings, od kterého tato odpověď pochází, jsem odepsal, že podobnou odpověď lze těžko přijmout. V případě použití cookies pro udržení sezení (session) žádný proxy server nemůže vstoupit do hry. A nemožnost řešit tento problém by znamenala, že by podobnými problémy trpěl Facebook, Google a desítky dalších masově používaných služeb.

Štěpán Burda na to reagoval tím, že „naše argumentace je platná, víme, o čem mluvíme“. A také tím, že „Pokud se podíváte na většinu vyspělých mechanismů pro autorizaci, které například  musí řešit multidomain, friend server a cross site SSO, tak zjistíte, že cookies rozhodně není dostačující řešení. A proto nepoužíváme pouze cookies.

To lze jistě chápat. Co ale stále nelze chápat je to, že je možné se dostat do cizí poštovní schránky. A že Centrum Holdings to nepovažuje za něco, kde by se uživatelé mohli obávat o bezpečnost svých účtů.

Problém ale nakonec reprodukovali, takže možná…

Ale třeba nakonec vše dopadne. Poslední zpráva je: „Podařilo se nám již během dnešního dne zjistit, přes jakou proxy se postižený uživatel připojuje a dokonce jsme i viděli přenesení kešovaného sessionID (naši technici byli přímo na místě ve společnosti uživatele, kde k problémům došlo). V dalších dnech budeme s našimi techniky zjišťovat, jakým způsobem k problematickému chování dochází.“ 

EDIT 14.6. 13:25 – Centrum Holdings po publikování tohoto článku vydalo k případu stručné oficiální vyjádření, najdete je na firemním blogu.

Možná se tak nakonec ukáže, že ono „v žádném případě“ nebyla pravda. A Centrum Holdings po mnoha letech poskytne odpovídající úroveň zabezpečení svých poštovních účtů.

Do té doby si prostě dávejte pozor, vždy se při ukončení práce s poštou na Centrum Holdings důsledně odhlašujte, zásadně nepoužívejte žádné jejich pluginy či nástroje, které udrží trvalé „připojení“ v prohlížeči. Případně, což je možná také vhodné zvážit, zvolte webmail, který nabízí odpovídající úroveň zabezpečení vašeho účtu. 

Našli jste v článku chybu?

15. 6. 2013 9:22

jk_ (neregistrovaný)

Ale tohle opravdu asi není primárně jejich bezpečnostní průser. Podle popisu skoro jistě jde o nějaké bizarní nastavení proxy v síti uživatele, kdy ta proxy přes kterou se připojují dva uživatelé centra je schopná využít autentenzaci jednoho uživatele a výsledek zobrazit někomu jinému.

Podivně nastavené firemní sítě je problém který je obecný, jako poskytovatel nějaké obecné služby s tím bojujete pořád, běžné špatné situace máte vyřešené, ale vždycky je možnost že to nějaké zařízení po trase pr…

14. 6. 2013 14:28

Všechny vámi navržené workaroundy může chybná implementace proxy a/nebo klienta zase obejít. Nebylo by tedy lepší opravit to, co je chybné (proxy), než se pokoušet vyřešit neřešitelný problém, jak fungovat i přes libovolně chybovou proxy?

Zrušení funkce „zapamatovat“ všem uživatelům kvůli tomu, že jeden uživatel má vážně poškozený proxy server, to by byl vskutku brilantní tah.

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá