Poslední aféra ohledně Seznam.cz (tedy, spíše ohledně bulvárního zpravodajství TV NOVA) mě přiměla sepsat několik otázek na Seznam.cz, které jsem poslal na jejich marketingové oddělení a dnes obdržel odpověď, a to přímo od Ivo Lukačoviče, předsedy představenstva Seznam.cz, a.s.
Jsou to dle mého názoru klíčové otázky, na které by každý uživatel měl znát odpověď, než začne služby portálu používat.
Otázky a odpovědi
V jakém formátu jsou uložena uživatelská hesla do emailů, jedná se o plain-text, nebo jde o md5/sha1 či jiný hash hesla?
Ano hesla jsou zasifrovana MD5 kou. Pro laiky to znamena, ze i kdyz je vase heslo „limonada“ v nasi databazi je ulozeno ve forme nesmyslneho retezce, ktery vypada napriklad takto “7e855e8efcffcf3587279b68fdb1257f“. Nejdulezitejsi zprava je, ze jakmile heslo jednou takto zasifrujeme neni jiz moznost jej v realnem case vratit zpet.
Zasifrovana hesla uzivatelu putuji i v nasi interni siti. Prihlasite-li se tedy napriklad na sluzbu Email.cz heslo je zasifrovano hned na www rozhrani a v nasich internich systemech jiz putuje sifrovane.
V jakém formátu jsou v DB uloženy odpovědi na kontrolní otázku?
Jako plaintext. Neni mozne je sifrovat, nebot zde nedochazi k uplne presne shode. Casto dochazi ke zmene malych a velkych pismen, ci diakritiky. Datum lide pisi v ruznych formatech a podobne. Ziskani pristupu do schranky po zapomenuti hesla neni automaticky proces. Je nutne komunikovat s helpdeskem, ktery kazdou zadost posuzuje a pokud je jakkoliv podezrala tak ji zacne blize overovat. A mozna byste se divili kolik lidi se kazdy den pokusi timto zpusobem ziskat emailovou schranku karel(zavinac)seznam.cz.
Je uchovávána historie uživatelských hesel? Pokud ano, v jakém formátu?
Ne.
Jsou zaznamenávány IP adresy uživatelů služeb Email.cz, Chat, Lidé.cz, Spolužáci.cz, Novinky.cz a dalších služeb, které Seznam.cz provozuje?
Ano pochopitelne. Neco takoveho dokonce musime delat ze zakona o elektronickych komunikacich. Jsme povinni je uchovavat 2 mesice (na vyzadani policie nebo soudu, konkretni data i dele) a EU nyni zvazuje prodlouzeni teto lhuty na sest mesicu a uchovavani mnohem vice dat nez musime uchovavat nyni.
Existuje možnost si tyto IP adresy technicky zdatným zaměstanancem porovnat jednoduchým SQL dotazem, a zjistit tak, že například uživatel s emailem XYZ@seznam.cz či s IP adresou A.B.C.D se vyskytuje (pod jiným nickem) i na službách chatu, Lidé.cz, Novinky.cz a jaké příspěvky a kdy publikoval?
Ano je mozne je porovnat a je mozne tuto analyzu udelat. Delame to jen na soudni prikaz.
Existuje log konverzací na chatu a dalších? Pokud ano, jakou má historii a kdo do něj má přístup dle firemní politiky a kdo dle jeho „potencionálních technických možností v rámci lokální sítě“?
Neexistuje. Za zakona nejsme povinni tyto logy uchovavat.
Kdo zná heslo do databází, v níž jsou veškeré tyto informace uloženy?
Pouze nasi interni zamestnanci, kteri jsou dostatecne provereni, a kteri maji podepsanou mlcenlivost. Vzhledem k tomu ze jsme u Uradu pro ochranu osobnich udaju registrovani jako subjekt, ktery uchovava osobni udaje uzivatelu mame i interni predpisy presne urcujici vse co se kolem techto citlivych dat tyka. V breznu az v cervenci 2004 u nas dokonce probehla kontrola uradu, kterou jsme v pohode prosli. Vsechny akce nasich zamestnancu nad touto databazi jsou logovany a archivovany.
Jsou uchovávány emaily smazané uživatelem? Jinak řečeno, jsou emaily mazány opravdu nevratně?
Maily se mazou nevratne.
Proč nejsou veškerá přihlášení (homepage Seznam.cz, Chat, Lidé.cz, Novinky.cz, a další) dostupná defaultně či alespoň alternativně i pod SSL, a jsou tak náchylná ke snadnému odposlechu?
Prihlaseni na email z HP Seznamu a z Emailu je od tohoto utery jiz standardne SSL. Kdyz se kouknete do zdrojoveho kodu, formular se odkazuje na // verzi logovaciho formulare. Uzivatelske jmeno a heslo je tedy zasifrovane. V brzke dobe budou zasifrovane vsechny stranky, ve kterych putuji nejaka citliva uzivatelska data jako jsou napriklad hesla. Jiz delsi cas mame i SSL verzi protokolu POP3, akorat jsme ji prilis nepropagovali.
Existují další informace o bezpečnosti dat, které by uživatelé měli vědět?
Za celou novodobnou historii Seznamu (tj. od roku 1997) se nikomu nepovedlo do Seznamu nabourat. Nikdy senam nestalo, ze by od nas unikla citliva data nasich uzivatelu. Daleko nejvetsim nebezpecim pro uzivatele je phishing. Osobne si myslim, ze o nem by se melo hovorit dnes a denne. V tomto smeru bych rad zduraznil, ze zadny ze zamestnancu Seznamu po Vas nikdy nebude chtit vase heslo.
Můžu se zeptat, co říkáš na službu safemail.cz - mám tam pracovní mail a uvažuju o tom, že ho začnu používat i k soukromé poště ( to není zneužívání zaměstnavatele, ta práce je novinářská a naprosto bezplatná, pouze služba lidem... )
Ešte by tam možno za úvahu stála otázka ohľadne prístupu k súkromným dátam používateľov. Z vlastnej skúsenosti viem, že pre jednoduchosť existujú interfaces napr. na priamy prístup do schránky používateľa (napr. keď mu treba vymazať správu, ktorá spôsobuje problém jeho klientovi). Vtedy je dôležité aby bol jasne definovaný mechanizmus kto, kedy a ako sa tam može dostať. Aby to nebolo "len tak pohodené" na administratívnej LAN-ke a používal to každý, kto si zmyslí.
Myslíš, že ti na tvé otázky odpoví? Podle mně, pokud s tebou vůbec budou ztrácet čas, ti odpoví stylem "To je naše obchodní tajemství". Tj. budou IMHO s tebou zacházet jako s nějakým BFU.
Osobně jsem velmi zvědav jakým způsobem z nich odpovědi na své otázky dostaneš.
[3] pokud odpovědi nebudou, je to jasný signál, že obavy se potvrdily..
Mně by spíš zajímalo jakým způsobem ty otázky pokládáš. Zda se jedná pouze o výzvu zde na blogu, nebo to posíláš přímo na seznam. V tom případě neuvažuješ, že tyhle otázky rozešleš do celé české portálové trojky a možná ještě dál (volny, quick...)?
[4] Takže pokud Seznam neodpoví, mám se začít třást, kdežto když neodpoví žádný jiný portál (Centrum, Atlas apod.), tak nic..?
Tak co se týče hesel, je zřejmé, že o MD5 nepůjde...i kdyby odpověděli, že ano.
[5] Já jsem na helpdesk seznamu xkrát naléhal otázkami typu "plánujete v blízké době zavedení dalších bezpečnostních opatření, například pop3s", a v době, kdy ještě neměli ani https přístup, kdy se tak stane, a odpovědi vždy byly "nevylučujeme tuto možnost, ale v současné době toto neplánujeme". Děs a hrůza.
Helpdesk centrumu, přestože u nich žádný mailbox nemám, reagoval mnohem pružněji a ochotněji... fakt ale zase byl, že ten, co mě odpovídal, ani nevěděl, že v prohlížečích s 'podivnou' identifikací (KHTML-Konqueror) se na všech centumáckých stránkách nezobrazovala diakritika ap.
Vrchol všeho je ovšem Tiscali. Jejich webmail evidentně používá další komunikační kanál, tudíž jednak je ve firemních sítích s blokováním portů atd. rozhraní nefunkční, zadruhé to je prasárna a security hole.
Moje 'záložní' gmailová adresa se postupně mění na primární...
[4] A co se stane, když neodpoví? Ty jej používat nebudeš a cílová skupina, která seznam používá toto ani nezaregistruje a bude jej používat vesele dál
Je dobré, že se o to začíná taky trošku zajímat veřejnost, takže klamavá reportáž novy třeba k něčemu bude. Na druhou stranu Nova u mě celkově ztratila důvěru solidního přístupu - je to prostě bulvár. Jinak si myslím, že dostaneš odpovědi tak na polovinu otázek. Možná dostaneš na všechny, ale určitě podle mě nebudou všechny pravdivé. Ostatně to pro mě bude určitě prioritou jestli na seznamu setrvat nebo ho úplně zrušit i když jej používám pouze na nesmysly. Jako primární mail je asi nepoužitelný nebo tak max. pro takové to pitomé psaní oničem.
Jelikož na helpline Seznamu operátoři prozradí zapomenuté heslo, tak odpověď na první otázku zní "plain-text".
Já si myslím, že Seznam je na tom z hlediska bezpečnosti mnohem hůř než konkurence. Jestli ukládá hesla jako HASHe vám nepovím, ale to, že je velmi snadné poslat KTERÉMUKOLI uživateli Seznamu fake-mail, to je fakt (u Centra to sice také jde, ale je to složitější, není to pro lamy jako u Seznamu, musíte totiž malinko umět PHP)... Prostě to dokáže každý, kdo dovede pracovat s Goolem a najít si instalaci programu Anonym Mailer, se kterým by nedokázala poslat falešný mail jenom totální lama (BFU) ...
[11] Přesně tak, podobnou zkušenost mám s Volným. Jednou jsem si u nich zřizoval přes helpline nějakou placenou službu a operátor se mě pro potvrzení operace prostě zeptal na mé heslo. Já jsem mu s údivem odpověděl, že mu přece nebudu sdělovat heslo když už zná i můj login, aniž bych ho chtěl obvinit, že si bude ve volném čase pročítat mé soukromé maily...on mi s naprostým klidem odpověděl, že on už mé heslo vidí na monitoru a ode mne ho chce slyšet jen pro ověření. Takže asi tak, pak mi ještě potvrdil, že hesla vidí stejným způsobem u všech uživatelů a mě v té chvíli došlo, že do emailu nic zásadního psát nemá smysl...
Asi v pate tride jsem zjistil heslo na mail jednoho cloveka pomerne trivialnim zpusobem.
Vytvoril jsem mailovou adresu podobnou jako je adresa toho cloveka a napsal na seznam ze sem zapomel heslo. ze seznamu mi bylo napsano, at zaslu udaje na ktere je registrovana tato schranka. otevrel jsem web toho cloveka kde mel o sobe napsane veci jako jmeno, prijmeni, adresa, ..., proste celkem bezne veci. Tak jak to na webu lezi a bezi jsem to zaslal do seznamu a obratem mi primo napsali heslo, takze cca pet let zpet to meli zcela jiste jako plaintext.
kdyz to pak kdosi zkousel o rok pozdeji, tak uz se ptali i na priblizny obsah schranky, ale po nalehani kdy heslo nechteli prozradit jej zmenili na jine, takze do schranky se opet vniknuti podarilo...
Pro porovnání by bylo dobré oslovit všechny naše největší poskytovatele.
[12] A co s tímhle má co do činění nějaký Seznam? Pokud jde o smtp server, tak obvykle každý ISP nabízí vlastní a obvykle ten nic neověřuje kromě toho, zdali uživatel je u toho ISP zrovna přihlášen. A k čemu nějaký Anonym mailer, stačí buď libovolný klient, kde se jako "vaše emailová adresa" zadá ta falešná, a nejpohodlnější je na tohle Thunderbird s VirtualIdentity rozšířením. Sám to používám docela často... (to neznamená zneužívám!)
[11] Tak pořád to může být ne via hash ale zašifrované nějakou sofistikovanou šifrou... ale proč tomu jen nevěřím...
[16] Jo, to máš pravdu, já jenom narážel na to,že u Seznamu to funguje pokaždé, kdežto u např. Centra ne tak spolehlivě ...
Celkem pozorně jsem si přečetl článek a dost mě to vyděsilo. A ještě více pak, když jsem si uvědomil, že mail seznamu má takovou úžasnou službu, která se jmenuje multipop (stahování různých mailboxů do schránky seznamu). Je nutné zadat pop3 server, uživatelské jméno a heslo ke každé schránce, kterou chce uživatel stahovat do svého mailboxu na seznamu. Pokud i s těmi hesly pracují takhle, tak nás potěš pánbůh 🙁
Radku - ač na mne kašleš. Pokud <b>tentýž dotaz</b> nezašleš také Centru a Atlasu a nepodložíš odpovědi fundovaným srovnáním s politikou "velkých západních", čili alespoň Yahoo! a Google, a alespoň jedné velké odjinud, třeba wp.pl (ideální by byla tabulka), těžko ti kdo uvěří, že nevedeš osobní, zaujatou kampaň proti Seznamu. Kampaň nežalovatelnou, nicméně o to neobjektivnější. Zůstávám tvým stálým fandou. Filip Sklenář.