P.E.S. Consulting neoprávněně zpřístupnil doménu svého klienta

Hned z úvodu si dovolím upozornit, že jsem se ve středu 2. ledna 2002 telefonicky spojil s technickou podporou společnosti P.E.S. Consulting a posléze s Josefem Grillem. Technická podpora mě odkázala na email, Josef Grill mě požádal, abych zatelefonoval druhý den. Email, který jsem ještě téhož dne večer poslal na adresu webhostera včetně otázek, na které jsem chtěl získat odpovědi, si můžete prohlédnout v archivu Lupy. Přestože jsem byl technickou podporou ujištěn, že do 24 hodin dostanu odpovědi písemně, čekám na ně marně dosud. Josef Grill ve čtvrtek nezvedal telefon – dost možná, že jen ty z Lupy ne.

Oč tedy šlo: Svatopluk Svatoš si před několika měsíci zaregistroval doménu svatos.cz, aby zde později vytvořil prezentaci pro vlastní firmu. Než se tak ale stane, „zaparkoval“ doménu ke společnosti P.E.S. Consulting. O něco později napadlo fotografa Marka Svatoše, že by mohl pro svůj ateliér a kino vytvořit web. Po zadání domény www.svatos.cz do prohlížeče se dozvěděl, že stačí vyplnit dotazník na webu a společnost P.E.S. Consulting mu vytvoří k doméně uživatelský účet. A tak se i stalo.

Když Svatopluk Svatoš zjistil, že jeho doménu někdo obývá, požádal administrátora, aby nájemníka vystěhoval a doménu zpět zaparkoval. A také Marek Svatoš se podíval na svůj web a zjistil, že je zpátky na začátku, a tak znovu zažádal o zprovoznění webu a administrátor Milan Leszkow mu opět bez větších problémů uživatelské konto obnovil. A možná by se páni Svatošové o doménu přetahovali dodnes, kdyby se 8. prosince Milan Leszkow nespletl a neodeslal odpověď pro Marka Svatoše na email Svatopluka Svatoše. Jmenovci se pak velmi rychle dohodli a původní doména dnes již běží u jiné společnosti.

Sami vidíte, že se (tentokrát) nestalo nic strašného, pánům Svatošům nevznikla žádná finanční újma a dnes se při vyprávění podzimních peripetií dobře baví. Co je na celé kauze nejzajímavější, je skutečnost, že P.E.S. Consulting nejeví zájem podat vlastní vysvětlení události, ba že dokonce ani nevyužila příležitosti na Lupě oznámit, jakým způsobem se napříště s podobnými zádrheli hodlá vypořádávat. Přitom se dle studie Webhosting a serverhosting, kterou v prosinci 2001 vydala společnost Internet Info, jedná o druhého největšího poskytovatele webhostingu v doméně .cz.

S problémem autentizace osob oprávněných zastupovat zákazníka se perou téměř všichni webhosteři. Ne každá webhostingová společnost je v takové situaci jako například 4web, jehož spolumajitel Michal Krause může s klidným svědomím říci, že všechny své klienty zná. Společnosti s více klienty se obvykle při vzdálené komunikaci spoléhají buď na uživatelské jméno a heslo (při telefonickém jednání nebo při vyřizování požadavků prostřednictvím rozhraní na webu), nebo k autentifikaci slouží zákaznické číslo. Běžnou zásadou komunikace je odpovídání pouze na emaily, respektive telefonní čísla, která již byla ověřena (například při podepisování smlouvy, při objednání služeb). Jinou možností je užívání elektronického podpisu.

       

V současnosti sice k elektronickému podpisu chybí prováděcí vyhlášky, přesto už některé společnosti po této možnosti sahají. Většinou jsou využívány služby osobních certifikátů Thawte, o kterých jsme na Lupě už psali, nebo přichází ke slovu PGP. Největší český webhoster zvolil řešení vlastní. Jakub Ditrich, CEO společnosti Globe Internet, na dotaz o autentifikaci klientů odpověděl:

Po roce testování zahajujeme v těchto dnech ostrý provoz komunikace se zákazníky prostřednictvím certifikovaných elektronických podpisů. Každý ze zákazníků Globe Internet bude mít možnost si zdarma vygenerovat pár podpisů pro svou e-mailovou adresu, které budou certifikovány CA Globe Internet (více info http://certifi­kacniautorita­.cz). Předpokládám, že během několika měsíců budeme většinu žádostí o změnu, storno, či zavedení nových služeb přijímat pouze touto nezpochybnitelnou formou.

Vzhledem k tomu, že incident se odehrál už před více než měsícem, měla společnost P.E.S. Consulting již dost času na zavedení takových opatření, aby se situace již nemohla opakovat. Jestli a jaká opatření zavedla, ovšem oficiálně žádný z jejích představitelů nesdělil.