Událostí číslo jedna konce uplynulého týdne se bezesporu stala kauza „hacknuté databáze“ Seznamu.cz. Průběžně jsme vás o vývoji nejen mediální přestřelky informovali formou zpráviček Pirát zveřejnil hesla ke schránkám na Seznamu (updatováno) a Jak to bylo s „hacknutím“ Seznam E-mailu. Názory na aktuální dění se nyní výrazně odlišují.
Na počátku všeho bylo slovo – avšak nikoliv boží, nýbrž v podání TV Nova. Ve své šťavnaté reportáži Internetové pirátství ze 7. dubna 2006 přinesla divákům informace o tom, že dosud neznámý pirát vykradl část databáze Seznamu a na internetu zveřejnil uživatelská jména a hesla několika desítek lidí, kteří mají na Seznamu svoji elektronickou poštovní schránku.
Inkriminovaný textový soubor, jenž je v reportáži nastíněn jako corpus delicti, lze stále nalézt prostřednictvím offline záznamu.
Z obsahu souboru není těžké odhadnout, že původně proklamovaný „hacker databáze Seznamu“ není nikým jiným než snifferem na lokální síti. V podobném duchu reagoval také Ivo Lukačovič na včerejší mimořádné tiskové konferenci. Hned druhý den po odvysílání oné mírně zavádějící reportáže na svém blogu uváděl věci na pravou míru. Nebál se použít ani několika ostřejších a přímých slov: Reportáž TV Nova navíc s největší pravděpodobností obsahuje rozhovor s údajně postiženou uživatelkou. Ta však vůbec postižena nebyla a celý rozhovor je smyšlený. Tato praxe je v TV Nova zcela běžná,
a dodal, že Seznam na Novu podá žalobu. (Nutno dodat, že Ivo Lukačovič při tvrzení o „běžnosti“ zmanipulovaných reportáží vycházel podle svých slov pouze ze svých zkušeností a nijak tento argument nebude v žalobě využívat).
Podle Seznamu je pachatelem odposlechu student střední školy s přezdívkou „Modrák“, který snifferem zachytil provoz na školní síti a z něj „vytáhl“ hesla svých spolužáků. Shodou okolností používali všichni freemail Seznamu. Již tradiční doporučené řešení proti sniffingu na uživatelské úrovni představuje použití šifrované SSL komunikace, kde by útok vyžadoval sofistikovanější techniky. Ten však Seznam hodlá zapnout ve výchozím nastavení až nyní. „Modrák“ každopádně získal pouze nepatrnou část uživatelských jmen a hesel, nepříliš prozíravě je pak vystavil na webu, na stránce hostované svým poskytovatelem připojení (UPC). Na následujících offline verzích již zrušeného účtu si můžete udělat obrázek o jeho dosavadní „hackerské“ činnosti:
- Výpis původního domovského adresáře http://3web.dkm.cz/modrak/
- Výpis souboru http://3web.dkm.cz/modrak/test/files/-=b.txt, který ve své reportáži obrazově zmínila TV Nova
- Výsledek sniffingu, původní umístění http://3web.dkm.cz/modrak/test/files/d_Password.log
- Další sniffing, původní umístění http://3web.dkm.cz/modrak/test/files/Dumped_Password-one.log
- A zase sniffing, původní umístění http://3web.dkm.cz/modrak/test/files/2-Dumped_Password.log
Pokud byste patřili mezi skupinu lidí, kteří se nedostali ke sledování nedělních Televizních novin na TV Nova, můžete si další reportáž s názvem Hesla k poštovním schránkám na Internetu přehrát v internetovém archívu. Pokud byste se těšili na údajně postiženou uživatelku jménem Štěpánka, známou z páteční reportáže, budete možná zklamáni. Nahradil ji totiž telefonický rozhovor s „kolegyní“ označenou pouze stroze „poškozená – majitelka elektronické schránky“…
Na již zmiňované tiskové konferenci včera Ivo Lukačovič sumarizoval celé dění následovně: Počítačový pirát napadl špatně zabezpečenou síť ve škole, zveřejnil na Internetu uživatelská jména a hesla svých osmi spolužáků. Televize Nova informovala, že počítačový pirát napadl Seznam.cz a ukradl část uživatelské databáze.
Nadcházející právní postup nechtěl blíže komentovat, nicméně způsobenou škodu předběžně odhadl na desítky, možná až stovky milionů korun. Zároveň uvedl, že do doby, než se celá kauza vyřeší, nebude Seznam.cz nasazovat svoji inzerci na obrazovce TV Nova.
Ve včerejších odpoledních hodinách se nám podařilo získat také oficiální stanovisko TV Nova:
„Portál Seznam.cz ústy své mluvčí paní Rity Gabrielové televizi Nova už v pátek potvrdil, že hesla unikla, vše předali policii a sami hledají viníka. Až o den později spolumajitel portálu Seznam.cz pan Ivo Lukačovič oznámil, že toto tvrzení je lež. Hesla podle něj někdo "nasbíral“ na jedné střední škole, tudíž databáze portálu Seznam.cz napadena nebyla. Tuto verzi tedy televize Nova včera zveřejnila s tím, že je záhadou, proč ji Seznam.cz nezveřejnil již v pátek.
řekla nám mluvčí televize Nova Veronika Šmítková.
Rozhovory s majiteli e-mailových schránek smyšlené nebyly. Již v pátek hovořil autor reportáže se dvěma poškozenými majitelkami elektronické schránky, jejichž hesla se na Internetu objevila. Včera byl zveřejněn telefonát ještě se třetí osobou.
Žádná stížnost ani oznámení o žalobě do televize Nova zatím nedorazilo,"
Podobný názor jsme získali také od Marka Brodského, zástupce šéfa zpravodajství (ten má v současné době dovolenou) v TV Nova. Podle něj neměli reportéři Novy v žádném případě v úmyslu Seznam poškodit. Nakonec, i my máme e-maily na Seznamu,
dodal Marek Brodský. Podle něj se reportéři snažili hned v pátek získat vyjádření Seznamu ke stránce s hesly, avšak Rita Gabrielová, tisková mluvčí Seznamu, jim řekla jen to, že o stránce vědí a nemohou s ní nic dělat – jen požádat jejího provozovatele o odstranění.
K dispozici však máme také komentář zdroje přímo ze skupiny reportérů a redaktorů, kteří se na zpravodajství podíleli, avšak nechtěl být jmenován, protože není oprávněn se k případu vyjadřovat (jeho identitu však redakce zná). Kdyby nám Seznam hned v pátek řekl, že nejde o krádež databáze, ale jen odposlech na školní síti, žádná reportáž by nejspíš nevznikla,
řekl nám. Paní Rita Gabrielová však jen potvrdila, že o krádeží ví. Seznam otočil až druhý den, v sobotu, kdy si nejspíš dali dohromady, co se vlastně stalo.
Tento zdroj rovněž zpochybnil verzi Iva Lukačoviče o tom, že pachatelem je školák „Modrák“ a že Seznam jeho identitu zná. Jestli je to tak, ať nám jeho jméno řeknou a s radostí s ním natočíme reportáž,
vyzývá člen zpravodajství televize Nova Iva Lukačoviče.
Seznam přitom o existenci „Modráka“ a jeho údajné přiznání opírá značnou část svého útoku na Novu. Druhou důležitou oporou jsou pak pro Iva Lukačoviče IP adresy lokální sítě, viditelné v reportáži. Z nich má být zřejmé, že útok probíhal jen na školní síti. Jak ale může vědět, že jde o autentický záznam provozu?
ptá se zdroj z Novy. Stejné záznamy se shodnými IP adresami je však možné vidět na výpisech z logů z webu „Modráka“ (viz výše).
Člověk z Novy přesto nepopírá jisté pochybení. Chyba byla, že jsme špatně použili termín ‚databáze‘. Chtěli jsme jen říct, že se někdo zmocnil části dat s hesly, neměli jsme na mysli ‚tu databázi‘ na serveru Seznamu,
přiznává. Nejsme však počítačoví odborníci, ten problém nám nedošel,
dodává „na omluvu“.
A jak se vlastně redaktoři Novy dostali k poškozeným uživatelům, svědčícím v reportážích? Prý jednoduše – když uživatelka „Fazolkalistova“ našla svoje heslo na veřejně přístupné stránce, zalarmovala nejprve jejího provozovatele. Mezi členy jeho technické podpory pak byl „tipař“, který svému známému v Nově případ „za tepla“ dohodil.
Proti sobě tak stojí v podstatě hlavně tvrzení Seznamu a Novy plné smyšlených aktérů a nařčení ze lží. Skutečný průběh pátečních a víkendových událostí tedy nejspíš bude muset rozluštit až soud, bude-li tyto okolnosti zkoumat. Jak nám potvrdila kromě mluvčí i právní zástupkyně Novy Markéta Havlová, žádné oznámení o žalobě do Novy zatím nedorazilo. Upřímně řečeno nevím, na čem chtějí vlastně stavět, když v pátek nejprve potvrdili verzi našich redaktorů a až v sobotu obrátili,
dodala.
Viditelným tak zůstává zejména počáteční zaváhání Seznamu, který v pátek na dotaz reportérů Novy nejspíš mohl odvrátit hrozbu nepříjemné reportáže vhodným vysvětlením míry nebezpečnosti stránky s osmi hesly. K tomu však nejspíš z komunikačních důvodů nedošlo a výsledkem je současná tahanice o pravdu.
Jak bezpečné jsou české freemaily?
Každý z neustále bojujícího trojlístku freemailů na Seznam.cz, Centrum.cz i Atlas.cz nabízí možnost šifrované komunikace skrze protokol SSL. Ani jeden jej však nepoužívá standardně, v čemž právě může být kámen úrazu pro velkou řadu nezkušených koncových uživatelů. Pokud je totiž do prohlížeče zadána jedna z odpovídajících adres mail.seznam.cz, mail.centrum.cz či mail.atlas.cz, zadávají uživatelé své citlivé informace do nezabezpečené HTTP komunikace. U každého ze zmiňovaných freemailů je zapotřebí explicitně klepnout na možnost šifrovaného SSL spojení, případně adresu ručně načít zkratkou https. Jen u Atlasu se ve výchozím nastavení alespoň heslo posílá šifrované.
Zároveň není bez zajímavosti, že pokud by se uživatelé chtěli ke svému účtu přihlásit přímo z domovských stránek libovolného z portálů www.seznam.cz, www.centrum.cz či www.atlas.cz, nemají ani možnost šifrované komunikace ze stránky využít. Ve všech třech případech se totiž nabízejí pouze nezabezpečené formuláře vyžadující zadání uživatelského jména a hesla.
Portál Atlas.cz včera reagoval a zároveň vyzval uživatele k použití šifrovaného spojení v odpovídající tiskové zprávě. Našim uživatelům zásadně doporučujeme používat SSL verzi, zejména na rizikových sítích, jako mohou být například školy nebo internetové kavárny,
říká Slavomír Vaškovič, marketingový ředitel Atlas.cz.
13. dubna 2006, doplnění: Celý případ sporné reportáže televize Nova o „ukradených“ heslech na freemailu portálu Seznam dnes skončil společným vyjádřením obou společností. V něm konstatují, že Seznam žádný pirát nenapadl a zcizeno bylo jen osm uživatelských jmen a hesel ze školní počítačové sítě. „Seznam.cz nedokáže bezpečnost této sítě zajistit, za tu je zodpovědný pouze její provozovatel,“ říká dále tisková zpráva.
Okolnosti konce sporu naznačují, že přes hrozbu žaloby ze strany Seznamu nakonec obě společnosti dospěly ke vzájemné dohodě, jejíž přesnou podobu se nám však nepodařilo zjistit. Právní zástupkyně Novy Markéta Havlová nám však již dříve potvrdila, že se mimosoudní dohodě nebudou bránit, bude-li k ní ochotný i Seznam.
