Kauza „ukradených“ hesel na Seznam Emailu

Televizní stanice Nova odvysílala v pátek 7. 4. 2006 v Televizních novinách reportáž o údajném vykradení databáze uživatelských jmen a hesel ke službě Seznam Email. Záznam reportáže si můžete přehrát v archívu TV Nova. V reportáži bylo zmíněno, že neznámý pirát vykradl část databáze Seznamu a umístil ji na Internet. Pojďme se však podívat, jak to bylo ve skutečnosti.

Seznam není na českém Internetu žádným nováčkem, a z toho se dá usuzovat, že by se nedopustil takové chyby, aby měl ve své databázi hesla uložena v přímé podobě. Hesla jsou s největší pravděpodobností zašifrována do nečitelné podoby pomocí nějakého jednosměrného algoritmu. Také zakladatel Seznamu Ivo Lukačovič na svém blogu popírá tvrzení, že by někdo vykradl jejich databázi.

Hesla byla zjištěna pomocí metody zvané sniffing. Útočník spustil na svém počítači (většinou s operačním systémem Linux) program zvaný sniffer a začal naslouchat provoz na síti a odchytával hesla. Touto metodou může zachytit pouze hesla, která putují přímo tou konkrétní sítí. Takže typicky různé školy, firmy atd. V tomto konkrétním případě se jednalo o školu, kdy se uživatel s nickem „modrák“ vsadil se spolužačkou, že získá její heslo na schránku emailu.

Takže celá situace se odehrála jinak, než informovala TV Nova. Společnost Seznam podnikne právní kroky, jak proti uživateli „modrák“, tak proti TV Nova, jejíž nepravdivá reportáž může Seznamu způsobit škody. Podle mého názoru Nova také pochybila tím, že v reportáži ukázala postup, jak stránku najít. Ta už byla sice správcem hostingu smazaná, ale i tak může průměrný uživatel Internetu v relativně krátké době zjistit některá jména a hesla. Mně se podařilo najít např. hesla uživatelů zaja002, paulis, holobit atd. Proti sniffingu se můžete bránit tím, že budete používat zabezpečenou SSL variantu přihlašování na e-mail. Otázkou je, proč tuto možnost nabízí Seznam jako volitelnou, a ne jako povinnou.