První informace o tom, že na webu jsou dostupné jakési „alternativní“ datové schránky, se objevily v médiích již počátkem tohoto týdne (příklad), a zmíněny byly i v diskusích zde na Lupě. Pokud se na ně ale podíváme (viz následující dva obrázky, ukazující jejich „prvotní“ stav), pak klasický phishing moc nepřipomínají, protože jsou zcela odlišné od webových stránek skutečného informačního systému datových schránek. Nicméně i tak jim někdo mohl naletět (třeba i přes varování Firefoxu).
Místo pojednání o nebezpečích a nástrahách phishingu bych ale rád zdůraznil něco jiného, co jsem zde na Lupě zmiňoval již dříve: že autoři a provozovatelé datových schránek zcela ignorovali novodobou bezpečnostní zásadu, která velí dopředu „obsadit“ všechny podobné či nějak příbuzné domény – tak aby se zabránilo zřizování různých „alternativ“ na těchto podobných doménách.
Konference Czech Internet Fórum 2009
Český Internet v kostce pro telekomunikační i marketingové odborníky, taková je konference CIF 2009, která proběhne v Praze 12. listopadu 2009. Přinese ohlédnutí za uplynulým rokem, který poznamenala krize na všech frontách.
Na panelové diskusi „Souboj titánů“ se sejdou šéfové největších českých portálů, o Internetu v roce 2019 promluví šéfka českého Google Taťána le Moigne a o tom, jak udělat z malé firmy obra a získat pro něj investora, bude mluvit Ondřej Tomek, někdejší šéf Centrum.cz. To nejsou jediná lákadla konference CIF, její kompletní program najdete zde.
Ani Česká pošta, ani Ministerstvo vnitra (či třeba Telefónica jako systémový integrátor) ale nepovažovali za potřebné takovéto domény nějak obsadit či jinak zablokovat. A tak teď sklízíme ovoce tohoto jejich přístupu, když se ony „alternativy“ objevují na doménách jako www.datoveschranky.net, či www.datováschránka.info.
Je možné, že zřizovatel či provozovatel datových schránek reagoval na první „alternativy“ alespoň dodatečně. V mezidobí totiž došlo k určitým změnám, včetně odstranění přihlašovacích boxů či upřesnění toho, k čemu se uživatel přihlašuje, viz novější obrázky.
Ale hlavně: jako varování uživatelům datových schránek se na informačním portálu ISDS objevil následující text:
Není ale na tomto textu něco špatně? Obávám se, že ano, a to dost.
Schválně si to srovnejte s následujícím obrázkem, na kterém už je další krok: poté, co na web datových schránek vstoupím z inzerované adresy datoveschranky.info, dostávám se na přihlašovací formulář v úplně jiné doméně, a to mojedatovaschranka.cz.
Neměl bych se v tuto chvíli již chytat za hlavu a myslet si, že jsem se dostal na nějakou podvrženou stránku? Neměl bych volat na poplach a žhavit hot-line s informací že skutečné datové schránky byly někam „uneseny“?
Čtenářům Lupy asi není třeba připomínat, že skutečné datové schránky opravdu sídlí na doméně mojedatovaschranka.cz, a že tedy přesměrování z www.datoveschranky.info právě na tuto doménu není žádným bezpečnostním incidentem. Ale vůči širší uživatelské veřejnosti, která tuto informaci nemá, jde (podle mého názoru) o dosti nebezpečné matení.
Obávám se, že provozovatel datových schránek (Česká pošta) se zde stal sám obětí dosavadního „čachrování“ s doménami: tak dlouho se skutečná doména ISDS (tj. mojedatovaschranka.cz) před uživatelskou veřejností skrývala a tajila, a tak dlouho byl místo ní podstrkován informační web na www.datoveschranky.info (s proskokem na skutečný vstup do ISDS), až tomu zřejmě uvěřili i v České poště – a napsali, že jediná adresa pro přihlášení k datovým schránkám je www.datoveschranky.info. Má to snad znamenat, že skutečné přihlašovací stránky v doméně mojedatovaschranka.cz jsou „nesprávné“ a je třeba se jim vyhnout?
Rád bych touto cestou vyzval Českou poštu k tomu, aby své varování opravila, v tom smyslu, že
… přihlášení do datové schránky (i chod celého webového portálu ISDS) se odehrává na doméně mojedatovaschranka.cz …
Pokud je „proskok“ přes www.datoveschranky.info myšlen jako nějaký doporučený výchozí bod, prosím – ale ať je to také takto uvedeno a ať je uživatel seznámen s tou zásadní skutečností, že bude ihned přesměrován do úplně jiné domény, do které se ostatně může dostat i jinak. Například přímým zadáním (té správné) adresy do svého browseru, viz obrázek: