Česká pošta neví, kde má datové schránky

5. 11. 2009
Doba čtení: 3 minuty

Sdílet

Autor: 21971
Na Internetu se již objevily první „alternativy“ ke skutečným datovým schránkám. Česká pošta ve snaze před nimi varovat říká, že jediná správná adresa pro přihlášení k datovým schránkám je www.datoveschranky.info. Skutečné datové schránky ale běží na doméně mojedatovaschranka.cz. Došlo tedy k jejich „únosu“, nebo Česká pošta zase radí nesprávně?

První informace o tom, že na webu jsou dostupné jakési „alternativní“ datové schránky, se objevily v médiích již počátkem tohoto týdne (příklad), a zmíněny byly i v diskusích zde na Lupě. Pokud se na ně ale podíváme (viz následující dva obrázky, ukazující jejich „prvotní“ stav), pak klasický phishing moc nepřipomínají, protože jsou zcela odlišné od webových stránek skutečného informačního systému datových schránek. Nicméně i tak jim někdo mohl naletět (třeba i přes varování Firefoxu).

datoveschranky.net datováschránka.info originál

Místo pojednání o nebezpečích a nástrahách phishingu bych ale rád zdůraznil něco jiného, co jsem zde na Lupě zmiňoval již dříve: že autoři a provozovatelé datových schránek zcela ignorovali novodobou bezpečnostní zásadu, která velí dopředu „obsadit“ všechny podobné či nějak příbuzné domény – tak aby se zabránilo zřizování různých „alternativ“ na těchto podobných doménách.

Konference Czech Internet Fórum 2009

Český Internet v kostce pro telekomunikační i marketingové odborníky, taková je konference CIF 2009, která proběhne v Praze 12. listopadu 2009. Přinese ohlédnutí za uplynulým rokem, který poznamenala krize na všech frontách.

Na CIFu mluví osobnosti Na panelové diskusi „Souboj titánů“ se sejdou šéfové největších českých portálů, o Internetu v roce 2019 promluví šéfka českého Google Taťána le Moigne a o tom, jak udělat z malé firmy obra a získat pro něj investora, bude mluvit Ondřej Tomek, někdejší šéf Centrum.cz. To nejsou jediná lákadla konference CIF, její kompletní program najdete zde.

Web CIF 2009 s cenami a registrací.

Ani Česká pošta, ani Ministerstvo vnitra (či třeba Telefónica jako systémový integrátor) ale nepovažovali za potřebné takovéto domény nějak obsadit či jinak zablokovat. A tak teď sklízíme ovoce tohoto jejich přístupu, když se ony „alternativy“ objevují na doménách jako www.datoveschran­ky.net, či www.datováschrán­ka.info.

Je možné, že zřizovatel či provozovatel datových schránek reagoval na první „alternativy“ alespoň dodatečně. V mezidobí totiž došlo k určitým změnám, včetně odstranění přihlašovacích boxů či upřesnění toho, k čemu se uživatel přihlašuje, viz novější obrázky.

datoveschranky.net nove datovaschranka nova

Ale hlavně: jako varování  uživatelům datových schránek se na informačním portálu ISDS objevil následující text:

varovani na webu datoveschrany.info

Není ale na tomto textu něco špatně? Obávám se, že ano, a to dost.

Schválně si to srovnejte s následujícím obrázkem, na kterém už je další krok: poté, co na web datových schránek vstoupím z inzerované adresy datoveschranky­.info, dostávám se na přihlašovací formulář v úplně jiné doméně, a to mojedatovaschran­ka.cz.

skutecny vstup na ISDS

Neměl bych se v tuto chvíli již chytat za hlavu a myslet si, že jsem se dostal na nějakou podvrženou stránku? Neměl bych volat na poplach a žhavit hot-line s informací že skutečné datové schránky byly někam „uneseny“?  

Čtenářům Lupy asi není třeba připomínat, že skutečné datové schránky opravdu sídlí na doméně mojedatovaschran­ka.cz, a že tedy přesměrování z www.datoves­chranky.info právě na tuto doménu není žádným bezpečnostním incidentem. Ale vůči širší uživatelské veřejnosti, která tuto informaci nemá, jde (podle mého názoru) o dosti nebezpečné matení.

Obávám se, že provozovatel datových schránek (Česká pošta) se zde stal sám obětí dosavadního „čachrování“ s doménami: tak dlouho se skutečná doména ISDS (tj. mojedatovaschran­ka.cz) před uživatelskou veřejností skrývala a tajila, a tak dlouho byl místo ní podstrkován informační web na www.datoveschran­ky.info (s proskokem na skutečný vstup do ISDS), až tomu zřejmě uvěřili i v České poště – a napsali, že jediná adresa pro přihlášení k datovým schránkám je www.datoveschran­ky.info. Má to snad znamenat, že skutečné přihlašovací stránky v doméně mojedatovaschran­ka.cz jsou „nesprávné“ a je třeba se jim vyhnout?

Rád bych touto cestou vyzval Českou poštu k tomu, aby své varování opravila, v tom smyslu, že

… přihlášení do datové schránky (i chod celého webového portálu ISDS) se odehrává na doméně mojedatovaschran­ka.cz …

Pokud je „proskok“ přes www.datoveschran­ky.info myšlen jako nějaký doporučený výchozí bod, prosím – ale ať je to také takto uvedeno a ať je uživatel seznámen s tou zásadní skutečností, že bude ihned přesměrován do úplně jiné domény, do které se ostatně může dostat i jinak. Například přímým zadáním (té správné) adresy do svého browseru, viz obrázek:

prihlaseni

Jak hodnotíte popisované varování České pošty?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).