Možná se dostanete do cizí schránky na Centrum Mail, účty jsou ale prý v bezpečí

Na webmailu Centrum Holdings se můžete ocitnout v cizí poštovní schránce a číst i posílat e-maily. Centrum Holdings ale odmítá, že by šlo o jejich problém.

Už v roce 2008 se objevil zdokumentovaný případ toho, ja se dostat na cizí poštovní schránky na Centrum.cz (viz Jak se dostat do cizího emailu? Centrum.cz vám pomůže…). A už tehdy se při kontaktu s technickou podporou uživatel dozvěděl, že „si má pročistit proxy server“ a setkal se s poněkud originální odezvou.

Čerstvý případ je starý několik dní a doprovází ho opět mírně neprofesionální komunikace s technickou podporou, která klasicky k ničemu nevedla. Technická podpora se problémem odmítla zabývat (redakce má kompletní záznam komunikace k dispozici).

U nas ale zadny vypadek nebo problem (ze by se prehazovalo prihlaseni nebo samovolne posilaly cizi cookies) nebyl, takze se tim nebudeme dale zabyvat.

Rozumějte tomu správně. Pokud máte ve firmě proxy server, nebo se kdekoliv přes proxy server připojujete, je možné, že se po přihlášení na webmail Centrum Holdings dostanete do cizí poštovní schránky. Budete moci číst cizí poštu i posílat e-maily za někoho jiného. Navíc jde o problém, který se projevuje minimálně od roku 2008.

Centrum Holdings problém odmítá

Oslovení Centrum Holdings vedlo k následující odpovědi, ve které Centrum Holdings zcela popírá (viz zvýrazněná věta), že by mohlo jít o technickou chybu na jejich straně. Zajímavé. Na druhou stranu, problémem se začali zabývat.

„Šetření na naší straně stále probíhá, ale z dosavadních poznatků vyplývá, že se v žádném případě nejedná o bezpečnostní problém způsobený návrhem aplikace Centrum webmail. 

K popsanému incidentu pravděpodobně došlo v situaci, kdy dva uživatelé na stejné síti, popřípadě na stejném počítači (v rámci různých uživatelských profilů), používají nevhodně nastavený proxy server, jenž kešuje požadavky, které by za žádných okolností kešovat neměl. Také je nutné, aby se jeden z uživatelů při ukončení práce s webmail neodhlásil, popřípadě měl zapnuté trvalé přihlášení a nesprávně nakešovaný token v url byl tedy stále platný. 

Výše uvedený bezpečnostní „incident“ se dá například přirovnat k situaci, kdy pošlu někomu, například přes IM nebo emailem, url odkaz s validním sessionID. V určitých velmi nestandardních situacích, kdy se všechny další pomocné proměnné shodují, bude daný odkaz považován za validní. Toto je ale obecný bezpečnostní problém, který se dá velice obtížně eliminovat, bez výrazného zásahu do uživatelského komfortu při práci s aplikací ( trvalé přihlášení, délka platnosti tokenu, apod…). Nicméně jedná se o velmi vzácnou událost, kterou navíc Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat. S postiženým uživatelem jsme v kontaktu a snažíme se problém debugovat."

O bezpečnost účtů se „uživatelé nemusejí obávat“

Na odpovědi je nejzábavnější závěr, tedy tvrzení, že „událost Centrum nezpůsobuje, takže se uživatelé o bezpečnost svých účtů nemusejí obávat“. Osobně s tím nedokážu souhlasit. Pokud se někdo zcela cizí může dostat do vaší poštovní schránky, tak se zcela jistě  musíte o bezpečnost svého účtu obávat.

Štěpánu Burdovi, IT řediteli Centrum Holdings, od kterého tato odpověď pochází, jsem odepsal, že podobnou odpověď lze těžko přijmout. V případě použití cookies pro udržení sezení (session) žádný proxy server nemůže vstoupit do hry. A nemožnost řešit tento problém by znamenala, že by podobnými problémy trpěl Facebook, Google a desítky dalších masově používaných služeb.

Štěpán Burda na to reagoval tím, že „naše argumentace je platná, víme, o čem mluvíme“. A také tím, že „Pokud se podíváte na většinu vyspělých mechanismů pro autorizaci, které například  musí řešit multidomain, friend server a cross site SSO, tak zjistíte, že cookies rozhodně není dostačující řešení. A proto nepoužíváme pouze cookies.

To lze jistě chápat. Co ale stále nelze chápat je to, že je možné se dostat do cizí poštovní schránky. A že Centrum Holdings to nepovažuje za něco, kde by se uživatelé mohli obávat o bezpečnost svých účtů.

Problém ale nakonec reprodukovali, takže možná…

Ale třeba nakonec vše dopadne. Poslední zpráva je: „Podařilo se nám již během dnešního dne zjistit, přes jakou proxy se postižený uživatel připojuje a dokonce jsme i viděli přenesení kešovaného sessionID (naši technici byli přímo na místě ve společnosti uživatele, kde k problémům došlo). V dalších dnech budeme s našimi techniky zjišťovat, jakým způsobem k problematickému chování dochází.“ 

EDIT 14.6. 13:25 – Centrum Holdings po publikování tohoto článku vydalo k případu stručné oficiální vyjádření, najdete je na firemním blogu.

MIF16

Možná se tak nakonec ukáže, že ono „v žádném případě“ nebyla pravda. A Centrum Holdings po mnoha letech poskytne odpovídající úroveň zabezpečení svých poštovních účtů.

Do té doby si prostě dávejte pozor, vždy se při ukončení práce s poštou na Centrum Holdings důsledně odhlašujte, zásadně nepoužívejte žádné jejich pluginy či nástroje, které udrží trvalé „připojení“ v prohlížeči. Případně, což je možná také vhodné zvážit, zvolte webmail, který nabízí odpovídající úroveň zabezpečení vašeho účtu. 

60 názorů Vstoupit do diskuse
poslední názor přidán 30. 6. 2015 10:55

Školení e-mail marketingu – pokročilé techniky

  •  
    Jak připravit šablonu moderního e-mailu
  • Jak spustit automatizované kampaně
  • Jak dynamizovat běžnou rozesílku

Detailní informace o školení e-mail marketingu - pokročilé techniky »