Hlavní navigace

Ukradli mi heslo z Atlasu!

Martin Kopta

Představte si, že vám jednoho dne někdo pošle "screenshot", resp. otisk obrazovky počítačového monitoru (viz článek), kde je zobrazena stránka s došlými emaily ve vaší freemailové schránce. Obrátíte se na svého "poštmistra", abyste mu pořádně vyčinili, avšak situace se má jinak --- chyba je ve vás, v uživateli.

V dnešním příběhu vystupují čtyři osoby: Otto Kočí (product manager freemailu MujMail), Pavel Kotyza I. (uživatel schránky na Atlasu) a Pavel Kotyza II. (jiný uživatel téže schránky na Atlasu) a Jiří Lahvička (online marketingový specialista Atlasu); svou osobu skryji za maskou vypravěče.

Pavel Kotyza II.: "Dne 17. září 2001 jsem se zaregistroval na portálu Atlas. Zvolil jsem si uživatelské jméno, které ještě bylo volné a úspěšně se přihlásil. Jaké bylo však mé překvapení, když v emailové schránce, kterou jsem očekával prázdnou, na mě čekalo více než 70 emailů, a to dokonce i měsíc staré.

Tvrzení Pavla Kotyzy II. jsem se pokusil ověřit tak, že jsem se chtěl zaregistrovat do „jeho“ schránky jakobych ji právě nově zřizoval. Systém mě ale okamžitě upozornil, že účet již existuje. V době, kdy se Pavel Kotyza II. přihlašoval, tedy muselo dojít k nějaké nepředvídatelné situaci. Zeptal jsem se proto Otto Kočího, který má dotyčný server na starosti:

Daná situace je velmi nepravděpodobná, systém tuto variantu nemožňuje.

Jinou odpověď jsem ostatně ani nečekal. Přestože jsme s administrátorem Kočím událost rozebírali ještě několik dní, nepodařilo se nám zjistit, jak by k podobnému incidentu mohlo dojít, a Atlas sám ani další podobné nehody nezaregistroval.

V každém případě heslo k účtu, které mi Pavel Kotyza II. sdělil, při pokusu o zalogování fungovalo. Ostatně, přesvědčte se na následujícím otisku obrazovky:

485

Situace jako uzel, co říkáte.

Býval bych si pomyslel, že mi pan Kočí lže, kdyby nedošlo ke dvěma zajímavým událostem, které měly na hodnocení „neoprávněného převzetí emailového konta“ zcela zásadní vliv.

Já ji [schránku na Atlasu] skoro nepoužívám, takže — jak jsem se rozhodl — mu [Pavlu Kotyzovi II.] ji přenechám. Ale nevím, jeslli mu k něčemu bude, protože na ni registruji stránky, kde na mě chtějí email. Takže to vypadá, že bude chodit okolo 60---70 emailů měsíčně." (Pavel Kotyza I.)

K první události došlo v okamžiku, kdy jsem už několikátý den nedostával odpověď na mail poslaný Pavlu Kotyzovi I. Tehdy jsem se rozhodl, že využiju hesla, které mi dal Pavel Kotyza II., a podívám se, jestli Pavel Kotyza I. už můj email četl. Tehdy jsem udělal zásadní chybu, když jsem se nedopatřením místo do účtu kotyza.pavel@atlas.cz nalogoval do účtu pavel.kotyza@atlas.cz. Ničeho jsem si nevšiml, protože mé heslo fungovalo. Teprve při otevření složky s doručenými zprávami jsem se vyděsil. Ležely tu dva emaily: jeden ode mne a druhý od Otto Kočího. Byl jsem prostě v jiném účtu, než kterého se celá anabáze týkala. Jaktože ale fungovalo moje heslo?!

Jiří Lahvička z Atlasu tu otázku vlastně položil hned v úvodu našeho rozhovoru: „A mají jiná hesla? Tj. k jednomu emailu fungují dvě hesla?“

A teď už je všechno úplně jasné, nemyslíte? Stejnou chybu — jako já nyní — udělal předtím i Pavel Kotyza II. Založil si účet pavel.kotyza@atlas.cz, ale zalogoval se do účtu kotyza.pavel@atlas.cz  — tento účet ale patří Pavlu Kotyzovi I.

Druhá událost mi potvrdila očekávání vzešlé z té první. Zavolal jsem Pavlu Kotyzovi I. a zeptal se ho přímo na jeho heslo k emailu na Atlasu — co myslíte, bylo úplně stejné? Kdyby v obou případech nešlo o tak primitivní hesla, asi bych si začal říkat, že jde o náhodu. V tomto případě ale nedbalost při výběru hesla zbytečně zaměstnala administrátora Atlasu a mou maličkost.

Jiří Lahvička k tomu říká:

Když si uživatel poprvé vybírá heslo v systému miniPAS, které pak platí také pro email, vyzýváme jej, aby heslo skládal z nejméně pěti písmen a číslic, a zároveň žádáme, aby nepoužíval jednoduchá hesla jako „12345“, „heslo“, jméno či příjmení. Pokud téhle rady uživatelé nedbají, nemohou se divit, že pak jejich účet použije někdo, kdo heslo prostě odhadne.

a já nemám jinou možnost než souhlasit. Ve Šťourovi se obvykle zabýváme pochybením ISP, v tomto případě jde o jasnou nedbalost na straně uživatele.

A přitom to na začátku vypadalo tak zajímavě.

Anketa

Jaké nastavujete heslo pro své emailové účty?

Našli jste v článku chybu?
29. 10. 2001 14:45
Jiri Chaloupka (neregistrovaný)
priblizne pred pul rokem jsem se po dlouhe dobe chtel zalogovat do schranky na atlasu. Podotykam ze schranka mela (asi jeste ma z nize uvedenych duvodu) uzivatelske jemno "chaloupka". Jake vsak bylo me prekvapeni, kdyz po uspesnem zalogovani jsem cetl napis e-mail "martina...@atlas.cz a maily, ktere evidentne nebyly moje. V zapeti jsem zaslal zadost administratorovi o zruseni schranky pro ztratu duvery s kopii dotycne martine vcetne "screenshotu". Administrator prohlasil…