Parser.cz

Před časem jsem měl školit u mého oblíbeného eshopu (toho, o kterém tu píšu pořád) zaměstnance s novým způsobem vyřizování objednávek. Bylo to poprvé, kdy se mi sešli úplně všichni na jedné hromadě (třicet kusů a přitom jich před rokem bylo kolem deseti), tak jsem chtěl využít příležitosti a rovnou provést menší bezpečnostní školení. Ale vykládat takhle nudnou látku místnosti plné ženských bez sebemenšího zájmu o zabezpečení by mělo asi podobný efekt jako dávat Radkovi H. recenzovat iPad. Rozhodl jsem se proto pro menší bezpečnostní experiment – zkusím se co nejjednodušeji dostat do jejich administrace (samozřejmě bez použití našich hesel apod :)).

Mimochodem – u nás se o zabezpečení celkem dost snažíme. Samozřejmě je vždycky prostor pro zlepšení, ale řekl bych, že jsme na tom lépe než je zvykem v oboru. Vše se neustále loguje a zálohuje, ke všemu podstatnému se dá dostat jen (šifrovaně) přes VPN s certifikátem, kolegové povinně šifrují disky a tak dále. Jenže k čemu to všechno je, když s administrací pak pracují BFU :)

Ve zmiňovaném eshopu je kolem třiceti lidí a každý má svůj účet do administrace a oprávnění do částí, kam potřebuje. Dost to ale komplikuje, že kolují mezi jednotlivými částmi obchodu (prodejna, dva sklady, reklamace, katalog, …), takže se přístup nemůže omezovat moc striktně. Zkusil jsem ten nejstarší a nejjednodušší postup pro získání hesla – prostě jsem se na něj zeptal. Založil jsem si schránku na Seznamu a poslal tento email na několik adres v eshopu:

Opravdu jsem se snažil, aby to prokoukli. Samozřejmě že umím poslat email tak, aby nebylo poznat, že je to podvrh. Ale to nebylo cílem. Chtěl jsem, aby se měli čeho chytit a odhalili to. Vůbec jsem neskrýval, že mail přichází ze Seznamu a ne z firemního emailu – nechal jsem adresu pěkně svítit. Vše jsem psal bez diakritiky, ikdyž ji jinak používám i na mobilu. Použil jsem jiné oslovení a jiný podpis. Nápověd bylo hodně. A že po nich chci urgentně heslo ani nezmiňuji. Výsledek?