ILUSTRAČNÉ FOTO – TASR

BRATISLAVA - V systéme jedného z najväčších slovenských prevádzkovateľov internetových stránok je už najmenej mesiac závažná chyba, ktorá umožňuje komukoľvek prístup ku všetkým osobným údajom aj nastaveniam jeho klientov. Problém sa týka platenej služby VasaAdresa.sk a firiem, ktoré si prostredníctvom nej objednali internetovú doménu a uloženie vlastných webových stránok.

Denníku SME včera dvaja počítačoví odborníci priamo predviedli, ako sa môže ktokoľvek prihlásiť do systému VasaAdresa.sk ako jeho správca. Má tak prístup ku všetkým osobným údajom niekoľkých desiatok klientov vrátane ich mobilných telefónnych čísiel či adries. Zároveň môže znefunkčniť internetovú doménu ktoréhokoľvek klienta, ak ju označí ako nezaplatenú alebo, naopak, doplniť falošnú informáciu o neexistujúcej úhrade objednaných služieb.

V priebehu ukážky „školáckej chyby v ochrane“ odborník na krátku chvíľu zmenil aj titulnú stránku služby, ktorú neskôr vrátil do pôvodného stavu , čo skutočný správca systému vôbec nezaregistroval.

„Na chybu som prišiel náhodou asi pred mesiacom, keď ma zaujala reklama firmy a začal som si prezerať ich webovú stránku,“ hovorí administrátor, ktorý chybu objavil. Pri prihlasovaní do systému sa podľa neho od klientov očakáva zadanie ich identifikačného čísla a hesla. Ak však uvedú namiesto čísla ľubovoľné písmeno, systém poskytne ako súčasť chybového hlásenia podrobnú informáciu o spôsobe prístupu k údajom o skutočných prihlasovacích menách v databáze.

Pre skúseného programátora potom už nie je problém zadať do kolónky „Vaše ID „ namiesto skutočného mena krátky príkaz, ktorý umožní priamy vstup do systému bez hesla.

Dvaja odborníci, ktorí denník SME o probléme informovali, majú blízko k hackerskej komunite, a preto si želali zostať v anonymite. Zdôraznili, že v systéme nenapáchali žiadne škody a predpokladajú, že po dnešnom oficiálnom zverejnení opisu chyby bude rýchlo odstránená.

Služba VasaAdresa.sk patrí žilinskej firme eTechnologies, ktorá okrem iného spravuje aj populárne zábavné internetové servery Azet.sk a Pokec.sk.

Slovenskí hackeri v minulosti už niekoľkokrát upozorňovali na chyby v zabezpečení serverov tejto spoločnosti, jej prevádzkovateľ však pohrozil médiám zverejňujúcim takéto informácie žalobou.

Doplnené o 8.30: V stredu ráno sa na titulnej stránke VasaAdresa.sk objavil odkaz od hackerov: "Dubec Rulez :-)) (13.8.2003 8:05, stale neopravene!!!) click here" s odkazom na tento článok. Chyba bola opravená približne o 8.40 h.

Doplnené o 9.00: Aj keď administrátori spoločnosti eTechnologies opravili chyby opísané v tomto článku, na stránke VasaAdresa.sk ostali neošetrené ďalšie závažné chyby, vďaka ktorým sa ktokoľvek môže dostať k veľkému množstvu faktúr vystavených zákazníkom spoločnosti. Je to možné jednoduchým otvorením konkrétneho adresára na internete, ku ktorému nie je prístup nijako obmedzený. Medzi zákazníkmi, ktorých údaje sú takto dostupné, sú fyzické osoby aj známe veľké spoločnosti.

Informácia sa objavila v diskusii k tomuto článku. Denník SME presnú informáciu o postupe, ktorý stále umožňuje prienik do systému, v záujme ochrany osobných údajov postihnutých klientov z diskusie odstránil.

Doplnené o 11.50: Administrátori spoločnosti ešte stále neodstránili chybu umožňujúcu prezerať si faktúry vystavené zákazníkom spoločnosti eTechnologies.

Doplnené o 14.45: Administrátori odstránili bezpečnostnú chybu, ktorá umožňovala neautorizovaný prístup k faktúram zákazníkov spoločnosti eTechnologies.