Šuplík Honzy Hučína

ING cosi podcenila

Kdo provozuje aplikaci náročnou na bezpečnost, měl by ji při vývoji sám zkoušet prolomit a nějak narušit práva uživatelů. V internetové bezpečnosti jsem laik, ale tuhle zásadu bych určitě ctil. ING Bank si tu práci – soudě aspoň podle článku na fincentru – nedala. Ještěže tam nemám účet.

O co jde: aby se uživatel přihlásil do zabezpečené aplikace, potřebuje zpravidla uživatelské jméno a heslo. Některé aplikace se při několikerém zadání špatné kombinace uživatelského jména a heslo rozhodnou účet na nějakou dobu zablokovat. Ale zablokují ho samozřejmě podle uživatelského jména. Takže vám stačí, když znáte něčí uživatelské jméno, párkrát odešlete formulář se špatným heslem – a dotyčný je na nějakou dobu od účtu odstaven. Vy mu z něho sice nic nevyberete, ale přinejmenším se pobavíte či pomstíte.

Uhodnout cizí uživatelské jméno přitom není někdy vůbec těžké. Víte-li, že uživatelská jména jsou třeba čtyřciferná čísla, je velmi pravděpodobné, že náhodně vybrané číslo bude něčí uživatelské jméno. Takže můžete vesele anonymně škodit. Je neuvěřitelné, že tohle ING Bank nedošlo. Patrně nedostal nikdo z jejích zaměstnanců za úkol zkusit škodit. Nebo že by si vybírala za klienty jen anděly?

Jsem důvěřivý člověk, ale čím dál víc si začínám dávat bacha na zdánlivě neškodné věci. Kde jsou ty časy, kdy jsme s Ondřejem Štefflem ve Sciu suverénně zveřejňovali svá rodná čísla.

Abych ještě zvýšil obecnou paranoiu: řada údajů, které lidi o sobě jen tak zveřejňují, se dá docela dobře zneužít. Stačilo by třeba vzít číslo mobilu, které najdete na webu, a dát do inzerce velmi lukrativní inzerát (typu „Nová nejetá Škoda Superb za 20 tisíc. Nevhodný dárek.“, neřkuli nějakou erotickou prasárnu) s tímto mobilem. Dotyčnému tím obstaráte zajímavý program pro několik dní. Mimochodem, tohle už se před časem opravdu stalo.

Ale kdyby se měl člověk pořád něčeho bát, zbláznil by se.