Ukradli mi heslo z Atlasu!

V dnešním příběhu vystupují čtyři osoby: Otto Kočí (product manager freemailu MujMail), Pavel Kotyza I. (uživatel schránky na Atlasu) a Pavel Kotyza II. (jiný uživatel téže schránky na Atlasu) a Jiří Lahvička (online marketingový specialista Atlasu); svou osobu skryji za maskou vypravěče.

Pavel Kotyza II.: "Dne 17. září 2001 jsem se zaregistroval na portálu Atlas. Zvolil jsem si uživatelské jméno, které ještě bylo volné a úspěšně se přihlásil. Jaké bylo však mé překvapení, když v emailové schránce, kterou jsem očekával prázdnou, na mě čekalo více než 70 emailů, a to dokonce i měsíc staré.

Tvrzení Pavla Kotyzy II. jsem se pokusil ověřit tak, že jsem se chtěl zaregistrovat do „jeho“ schránky jakobych ji právě nově zřizoval. Systém mě ale okamžitě upozornil, že účet již existuje. V době, kdy se Pavel Kotyza II. přihlašoval, tedy muselo dojít k nějaké nepředvídatelné situaci. Zeptal jsem se proto Otto Kočího, který má dotyčný server na starosti:

Daná situace je velmi nepravděpodobná, systém tuto variantu nemožňuje.

Jinou odpověď jsem ostatně ani nečekal. Přestože jsme s administrátorem Kočím událost rozebírali ještě několik dní, nepodařilo se nám zjistit, jak by k podobnému incidentu mohlo dojít, a Atlas sám ani další podobné nehody nezaregistroval.

V každém případě heslo k účtu, které mi Pavel Kotyza II. sdělil, při pokusu o zalogování fungovalo. Ostatně, přesvědčte se na následujícím otisku obrazovky:

Situace jako uzel, co říkáte.

Býval bych si pomyslel, že mi pan Kočí lže, kdyby nedošlo ke dvěma zajímavým událostem, které měly na hodnocení „neoprávněného převzetí emailového konta“ zcela zásadní vliv.

Já ji [schránku na Atlasu] skoro nepoužívám, takže — jak jsem se rozhodl — mu [Pavlu Kotyzovi II.] ji přenechám. Ale nevím, jeslli mu k něčemu bude, protože na ni registruji stránky, kde na mě chtějí email. Takže to vypadá, že bude chodit okolo 60---70 emailů měsíčně." (Pavel Kotyza I.)

K první události došlo v okamžiku, kdy jsem už několikátý den nedostával odpověď na mail poslaný Pavlu Kotyzovi I. Tehdy jsem se rozhodl, že využiju hesla, které mi dal Pavel Kotyza II., a podívám se, jestli Pavel Kotyza I. už můj email četl. Tehdy jsem udělal zásadní chybu, když jsem se nedopatřením místo do účtu kotyza.pavel@atlas.cz nalogoval do účtu pavel.kotyza@atlas.cz. Ničeho jsem si nevšiml, protože mé heslo fungovalo. Teprve při otevření složky s doručenými zprávami jsem se vyděsil. Ležely tu dva emaily: jeden ode mne a druhý od Otto Kočího. Byl jsem prostě v jiném účtu, než kterého se celá anabáze týkala. Jaktože ale fungovalo moje heslo?!

Jiří Lahvička z Atlasu tu otázku vlastně položil hned v úvodu našeho rozhovoru: „A mají jiná hesla? Tj. k jednomu emailu fungují dvě hesla?“

A teď už je všechno úplně jasné, nemyslíte? Stejnou chybu — jako já nyní — udělal předtím i Pavel Kotyza II. Založil si účet pavel.kotyza@atlas.cz, ale zalogoval se do účtu kotyza.pavel@atlas.cz  — tento účet ale patří Pavlu Kotyzovi I.

Druhá událost mi potvrdila očekávání vzešlé z té první. Zavolal jsem Pavlu Kotyzovi I. a zeptal se ho přímo na jeho heslo k emailu na Atlasu — co myslíte, bylo úplně stejné? Kdyby v obou případech nešlo o tak primitivní hesla, asi bych si začal říkat, že jde o náhodu. V tomto případě ale nedbalost při výběru hesla zbytečně zaměstnala administrátora Atlasu a mou maličkost.

Jiří Lahvička k tomu říká:

Když si uživatel poprvé vybírá heslo v systému miniPAS, které pak platí také pro email, vyzýváme jej, aby heslo skládal z nejméně pěti písmen a číslic, a zároveň žádáme, aby nepoužíval jednoduchá hesla jako „12345“, „heslo“, jméno či příjmení. Pokud téhle rady uživatelé nedbají, nemohou se divit, že pak jejich účet použije někdo, kdo heslo prostě odhadne.

a já nemám jinou možnost než souhlasit. Ve Šťourovi se obvykle zabýváme pochybením ISP, v tomto případě jde o jasnou nedbalost na straně uživatele.

A přitom to na začátku vypadalo tak zajímavě.