E-maily na Centrum.cz se dají zneužít pro sledování

  11:00aktualizováno  11:00
Chcete koupit například auto a hledáte výhodnou nabídku. Na stránkách autobazaru si nevyberete. V okamžiku vám však právě z tohoto autobazaru přijde mail s nabídkou nižší ceny. Náhoda?

E-mailové adresy zřízené na serveru Centrum.cz nejsou dostatečně chráněny a  jsou lehce získatelné třetí osobou. Redakce Technet.cz má k dispozici jednoduchý skript, který po umístění na jakékoliv webové stránky odhalí e-mail návštěvníka přicházejícího ze stránek Centrum.cz.

Tímto způsobem je například možné přesně vyhodnocovat chování konkrétního uživatele, stopovat jeho pohyb na upravené webové stránce a následně mu posílat cílené reklamní e-maily.

Za normálních okolností nemá provozovatel stránek k informacím o e-mailu návštěvníka přístup. Řešení portálu Centrum.cz však prozrazení adresy umožňuje. Přiznává to i samotné Centrum.cz. „Systém kódování (hashovaní) je na službě email od úplného začátku provozu Centra. Použité řešení je originální a z mnohých pohledů neobvyklé. Při jeho tvorbě jsme v první řadě hleděli na bezpečnost. Proto se např. nepoužívají cookies, které jsou rizikem při použití počítače jiným uživatelem a podobně,“ vysvětluje jednatel společnosti NetCentrum Oldřich Bajer.

Právě nedostatečné kódování informací, jako je například přezdívka uživatele, je příčinou zmíněného problému. „Údaje o přezdívce, ze které je zjistitelná i e-mailová adresa, se přenášejí nešifrované přímo v adrese stránky,“ říká softwarový analytik Roman Neuhauser. Při přechodu mezi stránkami totiž prohlížeč mezi jinými informacemi serveru předává i adresu předchozí navštívené stránky - a v ní tedy i přezdívku uživatele.

Pokud je tedy majitel e-mailového účtu na Centrum.cz právě přihlášen a ze stránek Centra přejde na skriptem upravené stránky, jejich majitel okamžitě zná jeho e-mailovou adresu.

Konkurenční e-mailové služby popsaný způsob zneužití neumožňují.  Systém při kterém je přezdívka přihlášeného uživatele v nezakódovaném tvaru přímo v adrese služeb webového rozhraní (v takzvaném refereru), je poměrně neobvyklý. U jiných českých freemailů se tato diskutabilní vlastnost nevyskytuje.

Seznam.cz a Atlas.cz sice trvalé přihlášení umožňují, ale uživatelské jméno v nekódované podobě nepředávají. A například portál Volný.cz při přechodu z emailu do vyhledávání uživatele automaticky odhlásí. Ani v jeho vnitřních adresách se uživatelova přezdívka v čitelném tvaru nevyskytuje.

Hrozí nebezpečí?

Centrum.cz problém bagatelizuje. „Nepovažujeme to za problém. Kdyby to problém byl, již bychom jej odstranili,“ odpovídá Oldřich Bajer na dotaz, zda riziko zneužití považuje za vážné. „V současnosti náš email používá již více než milion lidí. Od žádného z nich však nemáme zprávy či upozornění o nedovoleném vniknutí do schránky popsaným způsobem,“ doplňuje Bajer.

„Nejedná se o bezprostřední bezpečnostní problém, nicméně možnost zneužití zde je. Centrum.cz tímto způsobem může šířit e-mailové adresy svých klientů třetím stranám. Uživatelé pak mohou být vystavení nevyžádané poště, virům a podobně," upozorňuje na možná rizika Roman Neuhauser. Jako obranu proti možnému úniku adresy doporučuje Neuhauser včasné odhlášení ze služby e-mail před dalším pohybem po webu. Faktem však je, že většina uživatelů se při odchodu z e-mailové služby neodhlásí.

Další podrobné informace naleznete v tomto článku na Technet.cz. Zde si také můžete celý způsob zneužití vyzkoušet.

Nepřehlédněte:

Nejčtenější

Smrt přišla rychleji než zvuk. První rakety V-2 udeřily 8. září 1944

raketa V-2

Nebylo proti nim obrany a podle planých nadějí návykovými látkami „udržovaného“ vůdce třetí říše měly srazit zarputilé...

Kdy ani ochranný oblek nepomůže. Co dokáže granát nebo zákeřná motýlí puma

Podívejte se s námi k pyrotechnikům PČR

„Pokud mě uvidíte utíkat, snažte se mě předběhnout.“ Vtip, který laika pobaví, ale z pohledu pyrotechnika je otřepaný a...

Proč byli někteří dinosauři tak velcí? Měli něco, co savci ne

Jedním z evolučních důvodů gigantických rozměrů sauropodů byla pasivní obrana...

Největší suchozemští tvorové všech dob, pravěcí sauropodi, byli výrazně větší než všechna zvířata, která známe z naší...

Konec krádeží kol? Invoxia představila stopovací zařízení pod sedlo

Invoxia Bike Tracker

Vypadá jako obyčejná odrazka na kolo. Ukrývá však v sobě stopovací zařízení, které vás upozorní, pohne-li se vaše kolo...

Redaktor vibouch! Nevibouch! Jak to bylo v Černobylu podle Oprásků

Opráski z historje svjeta - Černobyl

Od jaderné katastrofy v Černobylu uplynulo letos třicet tři let. Kremelský režim výbuch nejprve tajil a posléze...

Další z rubriky

Apple chystá pořady za šest miliard dolarů, podpoří vlastní TV platformu

Streamovací služba Apple se jmenuje TV+

Společnost Apple se chystá vydat přes šest miliard dolarů (140 miliard Kč) na výrobu vlastních pořadů. Ty se mají...

Jak prodělat miliardu dolarů? Gigant se s ostudou zbavuje blogové platformy

Cena služby Tumblr klesla mezi lety 2013 a 2019 o 99 %

Americká společnost Verizon prodává blogovací službu Tumblr. Ještě před šesti lety měl Tumblr hodnotu 1,1 miliardy...

YouTube zablokoval zápasy robotů. Rozpoznal v nich týrání zvířat

YouTube chybně označil zápasy robotů za týrání zvířat a videa se záběry...

Zápasy robotů mohou vypadat drsně. Trpí při nich kovy i plasty. Ale určitě k újmě nepřijdou zvířata. Přesto YouTube...

Advantage Consulting, s.r.o.
EMBEDDED SW PROGRAMÁTOR

Advantage Consulting, s.r.o.
Středočeský kraj, Ústecký kraj
nabízený plat: 40 000 - 60 000 Kč

Najdete na iDNES.cz