To není chyba, to byl úmysl

Bezpečnostní chyby a nedostatky už bohužel k informatice patří ať už chceme nebo nechceme. Ve zprávičce na Lupě si dnes můžete přečíst, že ze slovenské služby Zoznamka.sk bylo možné získat zdánlivě skryté e-mailové adresy uživatelů (údajně 900 000 adres) a co na to říká její provozovatel, kterým je portál Azet.sk. Je to takový divný případ.

Musím říct, že příliš nefandím postupu, který zvolil autor blogu Synopsi, jenž na problém upozornil. Nepřijde mi úplně korektní objevení chyby přednostně ventilovat do světa před jejím nahlášením a opravením a ještě k tomu jako bonus přidat utilitu, která umožní stáhnout si seznam adres uživatelů služby Zoznamka.sk prakticky každému, kdo půjde okolo. Je to jen způsob jak se zviditelnit za každou cenu, protože Synopsi nabízí audity zabezpečení webových stránek.

Ale elementární pochybení je na straně portálu Azet.sk, o tom není sporu. Jenže ten se zachoval dost podivně. Tuto chybu i jiné vyčítané nedostatky již sice napravil, ale jeho způsob vlastní obhajoby lze chápat buď nebetyčně arogantně nebo jako ukázku amatérismu. Stačí se podívat na několik vět z jeho oficiální reakce.

„Práca s e-mailovými adresami bola takýmto spôsobom navrhnutá a naprogramovaná.“ o to smutnější to celé je.

„E-mailový kontakt pri pridávaní inzerátu je kontaktný a Azet.sk sa nezaväzuje, že ho nezverejní, “ to je sice možná relevantní vyvléknutí se z odpovědnosti z právní stránky, ovšem není to omluva. E-maily se na Zoznamce běžně nezobrazují. Uživatelé mohou na inzerát reagovat jen přes formulář, přičemž neznají e-mail zadaný autorem inzerátu, což logicky budí dojem, že e-mail je chráněn.

„E-mailové adresy sa bežne zverejňujú aj na iných stránkach a je na užívateľovi, ktorú poskytne. Je každého slobodným rozhodnutím, že takýmto spôsobom zverejní svoj pracovný e-mailový kontakt,“ to je pravda, ale opět to neomlouvá, že nějakou dobu bylo možné vytáhnout si seznam všech e-mailových adres autorů inzerátů. Navíc tady nešlo o zveřejnění, ale spíš nedostatečné schování.

„Popísaný postup vyťahovania adries z HTML kódu webových stránok je vo svete bežne používaný spamermi, ktorí takto získavajú e-mailové adresy a ďalej ich zneužívajú. Nejedná sa teda priamo o bezpečnostnú chybu stránky Zoznamka.azet.sk.“ Chybu možná ne, ale závažný bezpečnostní nedostatek, což je skutečně jen slovíčkaření a právě proto, že sběr e-mailových adres je běžnou praxí, měla by být e-mailová adresa chráněna a ne servírována na stříbrném podnose.

Azet.sk si podobnou obhajobou nadělal víc škody než užitku. Kdyby pokorně oznámil opravení chyby, uživatelům se omluvil, klidně mohl přidat i nějakou decentnější výmluvu a kauza by vyšuměla. Když ale IT firmy podobným způsobem chtějí omlouvat svá pochybení, tak se jim tím většinou ještě léta mlátí o hlavu při každé příležitosti.

Doplnění: Rastislav Turek, autor blogu Synopsi, mi napsal: synopsi.com onuka outsourcovane sluzby, ja sam ziadnu zo sluzieb neposkytujem riamo. Auditovanie webu robi spolocnost nethemba.sk. Preco som zvolil takyto postup? pretoze som sa niekolkokrat pokusal pozornovat azet na ich chyby a ich arogancia nema medze. absolutne ich to nezaujimalo, nemali najmensiu snahu tieto chyby odstranovat. vydanie softveru bola jedina moznost ako ich donutit k okamzitej akcii.