Hlavní navigace

Zoznamka.sk: tisíce e-mailů volně k dispozici (aktualizováno)

Jiří Macich ml.

Slovenský portál Azet.sk má na krku pořádný bezpečnostní skandál. E-maily uživatelů jeho seznamovací služby Zoznamka.sk bylo údajně možné získat velmi snadno, protože byly uvedeny ve skrytém poli formuláře pro odpověď na konkrétní inzerát, který navíc nedisponoval ani CAPTCHA ochranou, takže uživatelům velmi reálně hrozila záplava spamu po vložení inzerátu. Na problém upozornil blog Synopsi, kde byl též publikován jednoduchý program pro hromadné získání e-mailových adres autorů inzerátů. Celkem…

Slovenský portál Azet.sk má na krku pořádný bezpečnostní skandál. E-maily uživatelů jeho seznamovací služby Zoznamka.sk bylo údajně možné získat velmi snadno, protože byly uvedeny ve skrytém poli formuláře pro odpověď na konkrétní inzerát, který navíc nedisponoval ani CAPTCHA ochranou, takže uživatelům velmi reálně hrozila záplava spamu po vložení inzerátu. Na problém upozornil blog Synopsi, kde byl též publikován jednoduchý program pro hromadné získání e-mailových adres autorů inzerátů. Celkem takto zájemce mohl velmi jednoduše získat seznam čítající přes 900 000 adres včetně e-mailů pracovníků slovenské státní správy. Seznam adres by se dal využít kromě spamování také k phishingové­mu útoku.

Vyjádření portálu Azet.sk sice ještě nemáme k dispozici, ovšem problém byl alespoň prozatím zřejmě opraven, protože adresy už tímto způsobem nelze získat a u formulářů pro zaslání odpovědi se objevila CAPTCHA. Blog Synopsi už dříve upozornil na další bezpečnostní chybu služeb portálu Azet.sk, kdy bylo možné dostat se k soukromým videím nahraným na jeho novou službu Videoalbumy.sk.

Aktualizováno (11:48): Do systémov spoločnosti Azet.sk sa nepodarilo týmto útokom vniknúť. Práca s e-mailovými adresami bola takýmto spôsobom navrhnutá a naprogramovaná, uvádí Azet.sk ve svém oficiálním prohlášení. E-mailový kontakt pri pridávaní inzerátu je kontaktný a Azet.sk sa nezaväzuje, že ho nezverejní. Nicméně služba je koncipovaná tak, že běžný uživatel při reakci na inzerát vidí pouze formulář a nepracuje s e-mailovou adresou autora či autorky inzerátu (nezná ji), z čehož lze vcelku logicky nabýt dojmu, že e-mailové adresy jsou chráněné.

START17

Azet.sk i přes nasazení změn odmítá přiznat bezpečnostní pochybení. Popísaný postup vyťahovania adries z HTML kódu webových stránok je vo svete bežne používaný spamermi, ktorí takto získavajú e-mailové adresy a ďalej ich zneužívajú. Nejedná sa teda priamo o bezpečnostnú chybu stránky Zoznamka.azet.sk. Naopak reaguje na článek z blogu Synopsi, který na věc upozornil: Otázne je zverejnenie emailových kontaktov a vraj s nimi súvisiacimi inzerátmi na blogu synopsi, kde nie je možné reálne preukázať väzbu a môže ísť o vážne ohováranie a poškodzovanie mena dotknutých osôb.

Aktualizováno (17:20): Rastislav Turek, autor blogu Synopsi, který na problém upozornil a vydal utilitku pro získání seznamu e-mailových adres, vysvětluje své důvody takto: Preco som zvolil takyto postup? Pretoze som sa niekolkokrat pokusal upozornovat azet na ich chyby a ich arogancia nema medze. Absolutne ich to nezaujimalo, nemali najmensiu snahu tieto chyby odstranovat. Vydanie softveru bola jedina moznost ako ich donutit k okamzitej akcii.

Našli jste v článku chybu?