Před pár dny jsem upozornil na bezpečnostní díru webu www.e-sazka.cz. Zprávu převzal server Lupa, kde se k celé věci vyjádřil tiskový mluvčí Sazky Zdeněk Zikmund:
Při výše popsaném postupu, bylo možné získat uvedené údaje (jméno a příjmení, logo a čárový kód) v korektní podobě pouze v případě, pokud se uživatel přihlásil ke svému vlastnímu kontu. V případě, že přihlášen nebyl nebo měnil ID, získával nekorektní data, která byla aplikací náhodně generována. Přesto, že nemohlo dojít ke zneužití osobních údajů ani dat, věc nás mrzí, neboť zavdává podnět k nepodloženým spekulacím. Ihned byla zjednána náprava a aplikace s nekorektními daty, která sloužila jako testovací, byla zastavena.
Pan mluvčí bohužel lže. Důkazem je kompletní seznam všech registrací, které bezpečnostní dírou vytáhl kolega bloger a dnes mi je poslal e-mailem. V seznamu jsem našel nejen sebe (tedy osobu se zcela jedinečným jménem), ale i několik dalších lidí, o kterých vím, že se u SAZKY registrovali.
Bezpečnostní díru jsem považoval spíš za zajímavost, ne příliš závažnou chybu, ale vyjádření pana Zikmunda mě doslova dojalo, takže zítra odešlu důkazy s průvodním dopisem na Úřad pro ochranu osobních údajů, aby se mohli dojmout také a prověřit překvapivé kvality onoho náhodného generátoru, a na SAZKU zvažuji podat trestní oznámení, neb díky ní údaje o mé registraci kolují po internetu.
Než se budete u SAZKY registrovat, velmi dobře zvažte, vaše osobní údaje rozhodně v bezpečí nejsou.
SAZKA podává trestní oznámení
Doplněno 21. ledna: Tak nám SAZKA podala trestní oznámení (čas 18:40) na neznámého „pachatele“, který na internetu stáhl a zveřejnil něco, co bylo náhodně generované 🙂 Ovšem co následně prohlásila paní z ÚOOÚ mě doslova šokovalo a zavdala myslím na hezký precedens.
Komentáře
Kenn #1
Je až s podivem, kolik velkých společností má na svých stránkách takovéto závažné chyby
maxim #2
Tak tohle je ovšem sólokapr. Vyjádření tiskového mluvčí se mne již od začátku zdálo pochybné a pokud jsou k pochybení společnosti Sazka zřejmé důkazy, bude ještě hodně veselo…
Pavel #3
Doufám, že zveřejníš jak to celé dopado.
Miro Hrončok #4
Když jsem četl prohlášení pana mluvčího, přišlo mi to natolik nepravděpodobné, že jsem si říkal, škoda, že si ty data někdo neschoval. A ejhle. Držím palce.
Miro Hrončok #5
Ještě mě tak napadá, teď čtu v diskuzi na lupě:
„Samotné jméno a unikátní číslo v proprietární databázi nejsou ve smyslu zákona určitelné osobní údaje.“ Jak moc je tedy můžeš žalovat?
gg #6
#5 Miro Hrončoku, tím bych si nebyl tak jistý, pokud jméno je skutečně unikátní, tak zcela jistě osobním údajem je
Adrian Šipka #7
Tomu říkám něco, jsem zvědavý na další vyjádření k tomu jejich generátoru. :D
David Grudl #8
Žalovat je nechci, chci jen podat podnět na úřad, který už sám rozhodne, do jaké míry to jsou nebo nejsou osobní údaje.
Marek Prokop #9
Od lidí, kteří se živí hazardem, samozřejmě očekávám, že lžou, kradou a vraždí. Kdyby tomu tak nebylo, mé vidění světa formované díly jako Limonádový Joe, by se zhroutilo. Sazce proto děkuji, že se chová přesně tak, jak má.
binarniladin #10
Jak by pravil můj syn: to je hustokrutý. To že v panice reflexivně zalhali , to snad ještě pochopím , ale že největší zvíře přes sázení místo aby někde koupilo nějaký hotový a hlavně osvědčený řešení pro podobný druh podnikání ( a nevěřím že neexistuje) , raději nechá od nějakých fušerů za těžký peníze znovuvynalázat kolo , nad tím mi čelist poklesla údivem až do suterénu …
Gianluca Turturro #11
No já si hlavně myslim, že se jednalo o chybu, způsobenou nedostatečným testováním portálu. Když si vezmete, jak dlouho trvá vývoj takovéhoto monstra a jak dlouho po tom, co čeští poslanci umožnili sázení po onternetu, portál Sazky vyšel v plně pracovním provozu (aby si samozřejmě urval co největší kus ještě teplého koláče), tak se není ani čemu divit.
Michal Pelikán #12
Co k tomu říct? Snad jen, že na „náhodně generovaná data“ může skočit jen cílovka Sazky – gamleři.
Martin #13
#11 Gianluco Turturro, Myslím si, že s tím mohli počítat, že dřív nebo později se hazard po netu spustí a to monstrum začít vyvíjet včas, ještě k tomu když se jedná o dost velký peníze.
Keff #14
Teda, „It's not a bug, it's a feature“ získává nový rozměr, vždyť která jiná firma zabudovává do svého softwaru dokonalé generátory jmen, jen aby je používala ke generování lidí na chybných URL adresách :).
Tentokrát bych z břitev použil Hanlonovu („Nepřisuzuj zlému úmyslu to, co se dá ekvivalentně vysvětlit blbostí“ :)).
Pěkný lov, DGX!
Tomik #15
Svého času psal La Trine také generátor. Nevím, zda toto trvá, ale předpokládám, že jo, kdyby tady články zase začal psát David, úroveň by znatelně poklesla. :)
Takže je to vlastně souboj jednoho generátoru, proti druhému.
Já osobně fandím tomu zdejšímu a doufám, že toho od Sazky rozmete na kopytech! Do toho!
OT #5 Miro Hrončok: Zdravím, Miro! :)
Trupik #16
Možná že i generátory náhodných čísel v loteriích Sazky budou stejně náhodné, jako tento generátor osobních údajů :o)
Jiří Knesl #17
Ještě je možnost, že ten tiskový mluvčí říkal přesně to, co mu programátoři toho děravého systému v sebeobraně nakukali. ;)
Scotty #18
Jsem rád, že jsem nepodlehl tlaku okolí a nezaregistroval se. Ale je dobře, že se o tom mluví a alespoň někdo se nebojí jednat a „bojovat“ s takovou firmou jako Sazka!
Lukas Nevosad #19
Z uoou.cz:
„Osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“
priznam se, ze z toho stejne nechapu, jestli jmeno a prijmeni je osobni udaj.
Jinak mi to cele prijde jako z komara velblouda. Ano, chyba se stala, vyjadreni byla ocividna kravina, ovsem zneuzitelnost dat nulova, chyba byla jeste o vikendu v noci opravena. Ti z vas, co vyvijite aplikace – nikdy se vam podobna chyba do systemu nedostala?
Rival #20
#19 Lukasi Nevosade, Mě z toho vyplývá, že unikátní údaj bude třeba David Pikachu Grudl… ale třeba Josef Novák už ne ;)
Dundee #21
získával nekorektní data, která byla aplikací náhodně generována
To zní naprosto dokonale. Možná bych ještě přidal byla generována náhodným orákulem, aby to znělo ještě tajemněji.
Asi si založím seznam frází, které použít v případě průseru, a zapíšu si to tam.
Radko #22
#18 Scotty, Blbost. Jakejpak boj. Samozřejmě to odskáčou chudáci programátoři. Můžete si tímto postupem gratulovat pouze k tomu, že někdo sejme chudáka vývojáře…
hotovson #23
Davide, jen technicka: „se mohli dojmou“ a „v bezpeční nejsou“
Jinak ti drzim palce, nevychovance je treba vychovavat.
Jo, dostaly me ty spinave fleky na pozadi, uz uz jsem chtel pucovat monitor, ale v tom jsem zaskroloval… ;)
starenka #24
Na druhou stranu výpotek „Generovali jsme náhodná data“ je vskutku transcendentální. Prostě takovej Easter Egg, že?
Freeze #25
#19 Lukasi Nevosade, Osobní údaj to je ve chvíli, kdy z techto dostupných informací muzes zjistit identitu – tedy s jistotou rici, ze toto je clovek, ktery se registroval.
Ale osobne nevim, co vsechno verejne dostupne informace obsahovaly..
#20 Rivale, V zasade mas pravdu – pokud by existoval pouze jediny David Grudl, tak by uz unik samotneho jeho jmena ze systemu mohl byt bran jako nezabezpeceni osobnich udaju :)
Pachollini #26
Nevím, jak je to právně, ale i čistě dle selského rozumu mi zveřejnění informace, že jsem klientem Sazky, připadá jako citlivý údaj.
Pavel #27
Kompletni seznam registrovanych uz je ke stazeni na internetu
Michal #28
#27 Pavle, Pavle, to je informace ze zpráv nebo jsi to již někde ke stažení opravdu viděl?
David Grudl #29
#28 Michale, https://www.lupa.cz/…zory/251731/
Karel #30
Ta baba co byla vcera v TV je z UOOU? Tak ta baba je zcela mimo misu, pokud tvrdi, ze s tim musim pocitat. Bohuzel nikoli, pokud je chyba, ze sva data posilam pres zabezpecenou vrstvu primo do aplikace provozovatele je chyba provozovatele, ze tyto udaje vystavi na tom nebezpecnem internetu, nikoli chyba moje. Ta baba akorat vi, ze by ty internety nejadsi zakazala :)
Karele je-li to možné, piš prosím s diakritikou
Kunda neni to mozne, cestina stoji za starou pi…
roman #31
Karele?!?!? Tak tomu hovorim bug report 😉
anonym #32
Odkaz na seznam:
#stary-odkaz-#stary-odkaz-http://rapidshare.com/files/187736101/esazka.rar
Názor si udělejte sami.
Pavel #33
Otazka: Proč je podávano trestní oznámeni, když jde o náhodné generování dat?
Tomik #34
Tak kamarád (mimojiné je to Miro z #5 Miro Hrončok) slyšel někde v rádiu, že Sazka podává trestní oznámení na neznámého pachatele, prý kvůli pomluvám, či co.
Jak co to s tím je? Neví někdo? :)
king David #35
Ahoj, tak ta data obsahují ostré údaje. Seznam všech jmen není úplný (např. moje tam není 🙂. Nalezl jsem v seznamu 3 jména, o kteých vím, že se u e-sazky zaregistrovali. Některá jména jsem tam však nenašel. U jednoho jména mohu spolehlivě prokázat, že u něho je pravý registrační kód. Mám k dispozici originální registrační email od Sazky té osobě 🙂, a těch dalších dvou lidí bych se musel zeptat. Kdyby to šlo k soudu, myslím, že by se přidali. Chyba se totiž může stát, ale tiskový mluvčí naprosto sprostě veřejně lhal o náhodnýh datech. A to by se mělo jeho zaměstnavateli prodražit…
Roj #36
A hadejte, proc o tom kolosálnim prusvihu prakticky nikdo z velkych medii neinformoval, jen Prima?
CT ma oCazky 100 mega rocne, Nova se snazi ji to prebrat, UOOU je koupenej uz davno a poslanci zcela napric tzv. politickym spektrem jsou nejlepsi kamosi s Husakem.
Nektere nazory, treba #11 Gianluca Turturro, me hodne pobavily 🙂
Davide, je nenulova pravdepodobnost, ze se kvuli tomuto clanku dostanes do neprijemnosti. S mou pomoci muzes pocitat.
Michal Pelikán #37
#11 Gianluco Turturro,
#13 Martin
Pánové, portál Sazky běžel a byl plně funkční už od února 2008. Včetně sázení. Jediné, co se v lednu změnilo, bylo to, že sázky lze namísto telefonu podat kliknutím tlačítka. Takže není pravda, že by měla Sazka málo času.
A vsadím se (kdo vypíše kurz? :D), že kdyby Sazka nevěděla, jak to s tím spuštěním nakonec dopadne (jako že jó), neinvestovala by do toho portálu předloni ani 1 Kč.
Adrian Šipka #38
Hehe, mooc zajímavé. Celé je to teď nějaké popletené, ale nechápu že když má Sazka tolik pěněz, proč si nedokáže aspoň ubránit data na stránkách. To by nevyšlo Sazku na převeliké peníze ne? Mají to na háku, chtějí žalovat a přitom sami mají ostudu. Žalovat by měli je za to, že nedokázali ubránit citlivé informace.
Carl114 #39
Tohle si přece musí hlídat? Jak už tu bylo řečeno je to neuvěřitelné. Čím větší firma tak tím více by se měli zabejvat bezpečností snad ne? Tohle jsou citlivé informace a oni se uvazují k tomu, že je nebudou předávat dál. Tím, že tam byla chyba je vlastně zveřejnily. Mohly bychom je žalovat :)
Mersace #40
Já si myslím, že vzhledem k tomu, kolik projeli při „Bonus akci“, se dvěma talířema je jim bezpečnostní díry líto, ale neštve je to tolik.
Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.