Poslední aféra ohledně Seznam.cz (tedy, spíše ohledně bulvárního zpravodajství TV NOVA) mě přiměla sepsat několik otázek na Seznam.cz, které jsem poslal na jejich marketingové oddělení a dnes obdržel odpověď, a to přímo od Ivo Lukačoviče, předsedy představenstva Seznam.cz, a.s.
Jsou to dle mého názoru klíčové otázky, na které by každý uživatel měl znát odpověď, než začne služby portálu používat.
Otázky a odpovědi
V jakém formátu jsou uložena uživatelská hesla do emailů, jedná se o plain-text, nebo jde o md5/sha1 či jiný hash hesla?
Ano hesla jsou zasifrovana MD5 kou. Pro laiky to znamena, ze i kdyz je vase heslo „limonada“ v nasi databazi je ulozeno ve forme nesmyslneho retezce, ktery vypada napriklad takto “7e855e8efcffcf3587279b68fdb1257f“. Nejdulezitejsi zprava je, ze jakmile heslo jednou takto zasifrujeme neni jiz moznost jej v realnem case vratit zpet.
Zasifrovana hesla uzivatelu putuji i v nasi interni siti. Prihlasite-li se tedy napriklad na sluzbu Email.cz heslo je zasifrovano hned na www rozhrani a v nasich internich systemech jiz putuje sifrovane.
V jakém formátu jsou v DB uloženy odpovědi na kontrolní otázku?
Jako plaintext. Neni mozne je sifrovat, nebot zde nedochazi k uplne presne shode. Casto dochazi ke zmene malych a velkych pismen, ci diakritiky. Datum lide pisi v ruznych formatech a podobne. Ziskani pristupu do schranky po zapomenuti hesla neni automaticky proces. Je nutne komunikovat s helpdeskem, ktery kazdou zadost posuzuje a pokud je jakkoliv podezrala tak ji zacne blize overovat. A mozna byste se divili kolik lidi se kazdy den pokusi timto zpusobem ziskat emailovou schranku karel(zavinac)seznam.cz.
Je uchovávána historie uživatelských hesel? Pokud ano, v jakém formátu?
Ne.
Jsou zaznamenávány IP adresy uživatelů služeb Email.cz, Chat, Lidé.cz, Spolužáci.cz, Novinky.cz a dalších služeb, které Seznam.cz provozuje?
Ano pochopitelne. Neco takoveho dokonce musime delat ze zakona o elektronickych komunikacich. Jsme povinni je uchovavat 2 mesice (na vyzadani policie nebo soudu, konkretni data i dele) a EU nyni zvazuje prodlouzeni teto lhuty na sest mesicu a uchovavani mnohem vice dat nez musime uchovavat nyni.
Existuje možnost si tyto IP adresy technicky zdatným zaměstanancem porovnat jednoduchým SQL dotazem, a zjistit tak, že například uživatel s emailem XYZ@seznam.cz či s IP adresou A.B.C.D se vyskytuje (pod jiným nickem) i na službách chatu, Lidé.cz, Novinky.cz a jaké příspěvky a kdy publikoval?
Ano je mozne je porovnat a je mozne tuto analyzu udelat. Delame to jen na soudni prikaz.
Existuje log konverzací na chatu a dalších? Pokud ano, jakou má historii a kdo do něj má přístup dle firemní politiky a kdo dle jeho „potencionálních technických možností v rámci lokální sítě“?
Neexistuje. Za zakona nejsme povinni tyto logy uchovavat.
Kdo zná heslo do databází, v níž jsou veškeré tyto informace uloženy?
Pouze nasi interni zamestnanci, kteri jsou dostatecne provereni, a kteri maji podepsanou mlcenlivost. Vzhledem k tomu ze jsme u Uradu pro ochranu osobnich udaju registrovani jako subjekt, ktery uchovava osobni udaje uzivatelu mame i interni predpisy presne urcujici vse co se kolem techto citlivych dat tyka. V breznu az v cervenci 2004 u nas dokonce probehla kontrola uradu, kterou jsme v pohode prosli. Vsechny akce nasich zamestnancu nad touto databazi jsou logovany a archivovany.
Jsou uchovávány emaily smazané uživatelem? Jinak řečeno, jsou emaily mazány opravdu nevratně?
Maily se mazou nevratne.
Proč nejsou veškerá přihlášení (homepage Seznam.cz, Chat, Lidé.cz, Novinky.cz, a další) dostupná defaultně či alespoň alternativně i pod SSL, a jsou tak náchylná ke snadnému odposlechu?
Prihlaseni na email z HP Seznamu a z Emailu je od tohoto utery jiz standardne SSL. Kdyz se kouknete do zdrojoveho kodu, formular se odkazuje na // verzi logovaciho formulare. Uzivatelske jmeno a heslo je tedy zasifrovane. V brzke dobe budou zasifrovane vsechny stranky, ve kterych putuji nejaka citliva uzivatelska data jako jsou napriklad hesla. Jiz delsi cas mame i SSL verzi protokolu POP3, akorat jsme ji prilis nepropagovali.
Existují další informace o bezpečnosti dat, které by uživatelé měli vědět?
Za celou novodobnou historii Seznamu (tj. od roku 1997) se nikomu nepovedlo do Seznamu nabourat. Nikdy senam nestalo, ze by od nas unikla citliva data nasich uzivatelu. Daleko nejvetsim nebezpecim pro uzivatele je phishing. Osobne si myslim, ze o nem by se melo hovorit dnes a denne. V tomto smeru bych rad zduraznil, ze zadny ze zamestnancu Seznamu po Vas nikdy nebude chtit vase heslo.
na homepage Seznam.cz žádné SSL nenajdete
