Z mizerně zabezpečeného webu praho.nevyhazujto.cz, který provozuje externí firma goodooga, totiž neznámí hackeři vydolovali 35 tisíc uživatelských jmen a hesel.
Podle expertů je přitom velmi časté, že lidé jedno a totéž heslo používají u více služeb, tedy třeba i u internetového bankovnictví.
Přihlašovací údaje našel volně na webu bezpečnostní expert Michal Špaček. Chyby služby popsal na odborném serveru Lupa.cz. Provozovatele podle něj upozornil na únik citlivých dat už před měsícem a půl. Uživatele ale firma o tom, že jejich hesla jsou veřejná, doteď neinformovala. Reagovat začala až ve čtvrtek po dotazech MF DNES.
„Chyba byla okamžitě opravena. Jakmile ověříme všechny ostatní metody a bezpečnost, budeme uživatele informovat a pošleme link pro obnovení hesla do konce tohoto týdne,“ uvedl jeden ze zakladatelů firmy Roman Kmoníček.
Praha: Web není náš
Pražský magistrát odpovědnost přenáší na externí firmu. „Rád bych zdůraznil, že se nejedná o portál hlavního města Prahy. Metropole na tento portál pouze přispívá. Správce systému jsme požádali, aby uživatele o úniku dat informoval neprodleně,“ uvedl mluvčí magistrátu Vít Hofman s tím, že Praha platí na provoz 5 tisíc měsíčně.
„Hlavní město spustilo stránku pro využití nepotřebných věcí,“ zní ovšem titulek oficiální tiskové zprávy, kterou magistrát vydal vloni 1. září. Citovaná je v ní radní radní pro oblast životního prostředí Jana Plamínková (STAN/Trojkoalice) s tím, že jde o aktivitu jejího odboru (více v článku Praha spouští ekologický „blešák“.
A v registru je smluv je dohledatelné, že Praha téměř 250 tisíc zaplatila firmě goodooga za vytvoření portálu. Na webu je zároveň logo Prahy.
Pro magistrát je únik tisíců hesel citlivý. Primátorka Adriana Krnáčová (ANO) právě tento týden dostala od pražského ČVUT medaili za dobré prosazování chytrých technologií. K záležitosti se ve čtvrtek ona ani radní Plamínková vyjadřovat nechtěly.
V pátek Krnáčová vyjádření poskytla. „Portál není magistrátním projektem a spolupráce s ním je bohužel sóloakcí paní radní Plamínkové a jí podřízeného odboru. Už dříve jsem vyzvala všechny radní, aby každý IT projekt procházel kontrolou našeho odboru IT, který má bezpečnostní standardy na nejvyšší úrovni. To ale se ale v tomto případě nestalo,“ uvedla Krnáčová.
Po své radní prý bude požadovat vysvětlení. „Přestože magistrátní úředníci tu chybu nezpůsobili, chtěla bych se omluvit všem, kterých se ten problém jakkoliv dotkl,“ dodala Krnáčová.
„Nejde o žádnou sóloakci. Vše připravil odbor ochrany prostředí. Jak to technicky řešili, to skutečně nevím. Nejsem ajťák,“ reagovala Plamínková. Únik 35 tisíc uživatelských jmen a hesel označila za „bouři ve sklenici vody“.
Změňte si hesla, radí expert
„Pokud máte na Nevyhazujto účet, považujte heslo k němu za uniklé. Pokud ho používáte i jinde, tak si ho všude jinde změňte,“ upozornil Špaček.
Hesla Pražanů vypátral v masivní databázi 1,4 miliardy přihlašovacích údajů z celého světa, která je od loňského prosince volně k dispozici na internetu. Kombinuje úniky z řady známých webů - například americké sociální sítě MySpace či českého internetového obchodu Mall.cz.
