Vreco.cz

S nepříliš kladnou odezvou se setkala nucená změna hesla komunitního serveru LíbímSeTi. Od 14. ledna totiž bez jeho změny nemůžete využívat služby serveru. Namísto vašeho profilu, diskusí, chatu či seznamky se totiž všude vtírá text, který vás vybízí ke změně hesla kvůli zvýšení bezpečnosti a bez tohoto kroku vás nikam nepustí. To o bezpečnosti je jedna půlka pravdy. LíbímSeTi totiž až dosud ukládalo veškerá data o uživatelích včetně hesel v plain-textu, rozuměj v nezašifrovaném formátu. To znamená, že kdokoliv, kdo se k danému souboru dostane, může zneužív libovolné heslo uživatele a to jak na “Líbku”, tak na jiných službách, na nichž příslušný návštěvník používá stejné jméno a heslo. Což se všeobecně předpokládá, pochybuji o tom, že vy máte pro každý server svoje unikátní jméno a unikátní heslo. Vaše právě zadávaná hesla jsou nově ukládána šifrovaně do MD5 formátu, takže první půlka pravdy neklame. Opravdu je to skokově bezpečnější.

Jenomže druhá půlka pravdy je ta, že si původní bezpečnostní díry, možná spíš bezpečnostního kráteru, někdo všiml, na server se dostal a nic mu nebránilo v tom si stáhnout celou databázi uživatelů včetně jejich hesel. A ve chvíli, kdy LíbímSeTi hystericky podsouvá stránku o nutnosti změny hesla tak razantně, že bez ní nelze s aplikací pracovat, danou spekulaci jen podporuje.

Jak se to mohlo stát? Jednoduše. Původní způsob ukládání způsobený organickým rozvojem, kdy se z pidiwebu stala jedna z největších stránek, by sám o sobě byl průserový. Ostatně i Seznam do určité doby (přesněji do svého prvního bezpečnostního auditu) ukládal uživatelská jména a hesla uživatelů v plain-textu. Jenomže Líbko mělo těch bezpečnostních děr o poznání víc a mezi jinými tam byla poměrně školácká chyba, která umožňovala dostat se na server velmi laciným trikem.  Stačilo vložit jeden PHP script a “hacker” si s celým LíbímSeTi mohl dělat, co se mu zlíbilo. A jemu se líbilo. Asi to nebyl žádný hacker, spíš někdo, kdo se chtěl pobavit a nakonec na sebe administrátory upozornil hloupými triky se zahlcováním MySQL databáze. Jak dlouho se na serveru pohyboval a co všechno uniklo, však dodneška neví ani v LíbímSeTi. U pidiwebu věc, nad kterou každý mávne rukou, u serveru, který se snaží tvářit jako velký a seriózní projekt a jeho majitelé se jej snaží prodat za stamiliony korun, neodpustitelná věc.

Věrohodnosti serveru a jeho provozovatelů nepřidává ani fakt, že na přímé dotazy Lupy podložené konkrétními fakty a důkazy, odpověděl Tomáš Kapalín vytáčkami, převáděním problémů jinam a uváděním nesmyslů (krádež třetiny historické zálohy z vyřazených serverů - ha ha… i když, nedivil bych se, kdyby i tohle byla pravda a lednový hack nebyl druhým, ale třetím problémem LíbímSeTi). Přitom by stačilo říct něco ve smyslu: “sorry, měli jsme chybku, přes kterou nám unikla data. Je dost možné, že jsou tam i vaše hesla, prosím, změňte si je, chybku jsme opravili a zvýšili zabezpečení jak vašich dat, tak našich serverů.” Ale lhát a vykládat, že jde o reakci na útok z přelomu srpna a září loňského roku, kdy hackeři také získali data uživatelů z nezabezpečeného LíbímSeTi, nepůsobí vůbec důvěryhodně.

Ano, i tehdy přišlo Líbko o data, ale očividně se nepoučili, druhý lednový víkend se totiž se situace opakovala. Ale když na jednu stranu tvrdím, že jde o reakci na útok z přelomu srpna a září, proč nutím uživatele po čtyřech měsících takto drasticky měnit hesla? Navíc pomocí funkcionality ušité horkou jehlou a nasazené bez otestování, což bylo příčinou toho, že zpočátku ani pořádně nefungovala a lidé s ní měli problémy. Provozovatelům mohlo být jasné, že takový průser se neutají u žádného většího projektu. A už vůbec ne v LíbímSeTi, kde je nálada v souvislosti s vnitřní reorganizací, související se snahou majitelů svůj klenot prodat, hodně pod bodem mrazu.

Nutno vyzdvihnout dobrou investigativní práci Lupy, která na problém jako první upozornila. Příchod Patricka Zandla jí nadmíru svědčí. Škoda jen, že Patrickovi se v článku na Lupě rozplynula pointa, která přiměla Líbko k opěvovanému (a jinde automatickému) šifrování hesel v MD5: fakt, že si na serveru LíbímSeTi někdo dělal, co chtěl a přitom si mohl stáhnout, co se mu zlíbilo, aniž by si toho kdokoliv všiml. S takovou Líbko kupce hned tak nenajde, obzvláště ve chvíli, kdy dobu prudkých nárůstů jeho návštěvnosti i příjmů (po příchodu ex-obchodního ředitele Seznamu Tomáše Kapalína) přichází doba stagnace a nástupu Facebooku, který nyní LíbímSeTi válcuje ve všech ohledech. Je pravdou, že je také doba konsolidace a nákupu serverů, ale spíše těch levných než těch, k jejichž získání je potřeba půl miliardy…