Povedená PR akce IT podnikatele Tomáše Vondráčka nakonec dopadla tak trochu po česku. Respekt a uznání ze všech stran nahradilo, především mezi experty, jednoduché zjištění: za víkend se e-shop tohoto typu udělat prostě nedá. Alespoň ne tak, aby byl neprůstřelný.
On-line obchod nakonec roztrhala nadranc ajťácká komunita. Bez problémů „vytáhla“ citlivá data ze serveru obchodu. Ukázalo se, že zabezpečení e-shopu je nulové.
„Tohle jsou naprosté základy,“ napsal na facebookovou stránku akce IT expert Ondřej Bárta, který na chybějící zabezpečení upozornil.
„Nechci se nikoho dotknout, doteď jsem vám fandil, ale kdo vám dělal penetrační testy (audit IT bezpečnosti, pozn. red.)? A kdo trochu přemýšlel nad zabezpečením api (rozhraní pro programování aplikací, pozn. red)? Asi očividně nikdo,“ odpovídá si Bárta.
„Tohle přece nemohl nikdo kompetentní odmávat. Vy organizátoři se tváříte, že je všechno v pořádku, přičemž není. Přitom by nebylo nic špatného na tom říct – nezvládli jsme to, potřebujeme ještě x dní. Bylo by to fér a měli byste můj respekt, ale to, co tady předvádíte, fér rozhodně není. Gratuluji,“ dodal Bárta a spustil lavinu.
Po internetu tak kolují citlivá data uživatelů, kteří si známky koupili.
Brzy zareagoval i sám Vondráček. Přiznal, že problémy se zabezpečením byly, a to proto, že „tam už stály všechny televize a noviny“.
„Ano, v neděli ve 20:57 došlo k úniku dat. Chyba vznikla přibližně tak, jak to popisujete. Je to důsledek toho, že jsem dal vývojářům málo času a velké cíle. Kdyby dostali alespoň o hodinu víc, nestalo by se to. Měli jsme pentesty, ale prostě to někdo v tom stresu vypustil z hlavy, protože se snažili to rozchodit v době, kdy už tam stály všechny televize a noviny a já prezentoval, ačkoliv jsme v té době byli dole a všichni se snažili to dotáhnout. Nemůžu se zlobit na nikoho, maximálně na sebe. Opravili jsme to ve 22.03. Teď řešíme, kolik z toho, co se dostalo ven, jsou test data, kolik jen smyšlená data, a kolik skutečná. Následně uděláme rozhodnutí o dalším postupu. Naštěstí chtěl dotyčný spíš upozornit na chybu, než ukrást data, takže škoda není zas tak velká. Dám vědět finále, ale vypadá to na 2–3 stovky reálných dat. Všechny postižené budu kontaktovat.“
Sám pak mimoděk přiznal, že takový e-shop se za víkend udělat nedá. „Vystavil jsem dobrovolníky nesmyslnému termínu.“ Jeho firma v prohlášení pak žádá „o fér hodnocení situace“. Data ale už plují kyberprostorem.
Pointa je tak až cimrmanovsky geniální: Udělali (zdarma) e-shop, ale chodili jim tam lidi…
