Ano, mluvím o Seznam.cz a jeho e-mailu.
Seznam.cz kašle na zabezpečení!
Zabezpečení vašeho účtu na Seznamu je vystaveno nejzávaznějším rizikům a ani po několika letech nebyl Seznam schopen a ochoten na tom zapracovat.
O jaká rizika jde?
1. Chybí šifrování přihlašovací stránky
Jednou z nejzákladnějších metod zabezpečení je šifrování hesla, když se jím přihlašujete na stránky. Přímo z domácího počítače vám tohle asi nehrozí. Stačí ale, abyste se přihlásili v kavárně přes Wi-Fi, nebo na mobilu a vaše heslo jde vzduchem a v tichosti ho může kdokoliv nepozorovaně přečíst, stačí k tomu obyčejný počítač a návod, kterých je na internetu k nalezení více než dost.
2. Slabé šifrování e-mailu lze obejít
Při práci s citlivými daty, jako je třeba čtení a posílání emailů, by měla být všechna komunikace šifrována, a to povinně. Nyní to lze ale velmi snadno vypnout. A i když to nevypnete Vy, snadno to může udělat jakýkoliv útočník.
Všechny e-maily, které si přečtete, tak putují v čitelné podobě. Stačí sedět v okolí 50 m s tou správnou anténou a útočník Vám skoro vidí do monitoru. Vy přitom vůbec nic nepoznáte, vypnutého šifrování si nejspíš nevšimnete vůbec.
3. Chybí šifrování e-mailů „na cestě“
I když si pohlídáte, že váš počítač poctivě šifruje, tak přesto Váš e-mail odchází v čitelné podobě, jakmile začnou servery Vaše e-maily doručovat. Když totiž posíláte e-mail do nějaké firmy, tak při přenosu Seznam posílání nijak nezabezpečuje a prostě jej vyšle do světa v čitelné podobě.
Přečtěte si vyjádření společnosti Google, která detailně vysvětluje podstatu problému.
Útočník sice tentokrát nemůže použít laciné způsoby útoku, na druhou stranu se to týká všech lidí, kteří používají e-mail Seznam.cz. Takže se potenciálnímu útočníkovi vyplatí větší investice, což napomáhá vládním odposlechům a organizovaným skupinám.
4. Chybí bezpečnostní mechanismy
Co když někdo už dávno má Vaše heslo k e-mailu? Poznáte, jestli se někdo nepozorovaně přihlašuje do vašeho e-mailu a čte vaši poštu?
Nezabývejme se tím, jak mohl vaše heslo získat! Mohl to udělat nepozorovaně, mohl ho uhádnout, nebo použít některou z výše popsaných slabin.
Seznam vás nevaruje, ani když se k Vašemu účtu bude přihlásí někdo třeba z číny (vyzkoušeno). Oprava: Seznam umí varovat před některými neoprávněnými přístupy. Nemáte ale možnost to zkontrolovat. Existuje pouze stránka s přehledem posledního přihlášení do služeb, ale z toho nevyčtete, kdo a odkud se tam v poslední době přihlásil.
Seznam se nestará o své uživatele a nesnaží se na rizika upozorňovat. Například by bylo dobré občas uživatelům připomenout, aby aktualizovali své ověřené kontakty, přes které si mohou v případě problémů nechat poslat nové heslo.
Seznam se moc nevytáhl ani v řešení již proběhlých útoků, kdy byl uživateli odcizen účet. Když útočník v účtu změní záložní kontakty, tak původní majitel účtu ztratí možnost jej jakkoliv získat zpět. Poslední záchranná možnost, kdy oběť odpovídá na sadu otázek o svém ukradeném účtu, je většinou nefunkční – zde neumím s jistotou říct, zda je to drobnými odchylkami od správných odpovědí a nebo znalý útočník upraví některé údaje v profilu tak, aby nebylo možné do profilu získat přístup touto metodou.
5. Chybí možnosti vyššího zabezpečení
Váš účet chrání od útočníka pouze jedno heslo.
To heslo je ale stále stejné, zadáváte ho několikrát týdně, pokaždé to samé. Stačí, aby ho někdo jednou zahlédl přes rameno a už mu nic nebrání vám účet ukrást, heslo změnit.
Seznam neumožňuje nastavit lepší zabezpečení. Jedno malé heslo klíčem ke všemu bohatství.
Příklad lepšího zabezpečení můžete vidět ve své bance, ta vám pošle SMS s kódem, který opíšete a tím dokážete, že máte u sebe svůj telefon. Telefon totiž nelze ukrást tak nepozorovaně jako heslo.
Tato metoda se jmenuje Dvoufázové ověření a funguje na několika principech:
- Kód je potřeba opsat při prvním přihlášení z neznámého počítače, tedy Vy ho doma nemusíte zadávat, ale útočník na svém počítači ho zadat musí, jinak se do účtu nedostane.
- Kód je pokaždé jiný,
- Každý kód lze použít pouze jednou, takže i kdyby váš kód útočník zahlédl, tak mu stejně nebude fungovat, protože jste ho mezitím použili pro svoje přihlášení,
- Kód má krátkou platnost jen několik minut, takže i kdyby jej útočník nějak získal, tak se jím musí přihlásit velmi rychle.
- Změna hesla vyžaduje další kód, když by útočník měl tolik štěstí, že by se to vašeho účtu dostal, tak stejně nemůže změnit heslo, protože na to potřebuje další kód, který už ale opravdu nezíská. Navíc vás nebude moci špehovat dlouho, protože se odjinud už nepřihlásí.
Více informací o 2fázové ověření najdete na stránce Dvoufázové ověření od Google.
Seznam.cz o nedostatcích dobře ví
Všechny uvedené nedostatky jsou velmi známé a Seznam je za ně často kritizován a to jak veřejně, tak i na odborných konferencích. Sice už několik let slibuje nápravu, ale stále není vidět žádné přijatelné zlepšení.
Některé popsané opravy jsou většího charakteru, ale některé neméně důležité části zabezpečení je snadné nasadit. Nevidím proto rozumné důvody, proč Seznam.cz několik let tak závažné nedostatky neopravil.
Proto radím: Zbavte se Seznamu
Přejděte se svým e-mailem jinam.
Můžete snadno přejít třeba k Gmailu, který provozuje Google. Úroveň zabezpečení těchto e-mailů se totiž řadí mezi nejvyšší na celém světě.
Disclaimer: Autor se aktivně zajímá o bezpečnost na internetu a má mnohaletou zkušenost s podporou svých klientů, mezi nimiž jsou desítky uživatelů e-mailu na Seznam.cz. Podklady pro tento článek autor čerpal právě při řešení potíží s úniky dat, odcizením účtů klientů a také na školeních týkajících se bezpečnosti webových aplikací, kde si reálnou proveditelnost většiny výše uvedených útoků proti Seznamu ověřil při kontrolovaných pokusech v laboratoři.
Toto není reklama na Google a jeho služby, autor je uvádí na základě osobních zkušeností a preferencí.