Pocztowa dziura Onetu

Masz darmowe konto na Onecie? Jeśli tak, to możesz dowiedzieć się, co piszą w swoich listach inni użytkownicy tej usługi. Bez problemu możesz też prowadzić w ich imieniu korespondencję z prawie 3-milionową rzeszą użytkowników bezpłatnych kont pocztowych Onetu.

Największy portal w Polsce wygrywa w kolejnej konkurencji na polskim rynku – jest również portalem najbardziej dziurawym. Posiadacze bezpłatnych kont pocztowych w portalu Onet.pl (jest ich ok. 2,8 mln) mogą z poziomu WWW w prosty sposób przeglądać korespondencję pozostałych użytkowników poczty elektronicznej w portalu. Mogą według upodobania zmieniać hasło dostępowe do tych skrzynek i prowadzić korespondencję w ich imieniu. Mogą również kasować wybrane wiadomości.

Takich niewiarygodnych informacjach dostarczył nam informator, który chciał pozostać anonimowy. „Zdecydowałem się ujawnić informację, ponieważ za długo czekałem na jakąkolwiek reakcję Onetu.pl. List z informacją o luce przesłałem do help-desku w ubiegły czwartek – tymczasem nie miałem problemu z wejściem do cudzych skrzynek jeszcze w poniedziałek” – wyjaśnia nasz informator.

Przeprowadzony w południe w poniedziałek w naszej redakcji test potwierdził wszystkie przekazane nam informacje. Bez większego zachodu można uzyskać dostęp do nieograniczonej liczby kont innych użytkowników. „Myślę, że nie postępują elegancko i za to powinna ich spotkać kara. Na razie ukarani mogą poczuć się bowiem ci, którzy liczyli na zapewnienie poufności korespondencji przez Onet.pl” – dodał nasz informator. Ze swojej strony, jak stwierdza nasz informator, wykazał maksimum przyzwoitości – poinformował administratora na podany adres elektroniczny. „Chętnie bym też zadzwonił, ale nie znalazłem na stronie żadnego numeru telefonu” – dodaje.

Jak zapewnia Andrzej Zachwieja, dyrektor działu komunikacji Onet.pl, na wszystkie nadesłane nieprawidłowości administratorzy poczty reagują „na bieżąco”. „Dziennie otrzymujemy do kilku tysięcy listów do help-desku pocztowego. Na te najważniejsze reagujemy błyskawicznie, ponadto wszystkie archiwizujemy przez minimum pół roku” – stwierdza Andrzej Zachwieja. Jakim więc cudem informacja o „taaakiej” dziurze została pozostawiona bez żadnej reakcji? Pytanie to pozostaje na razie bez odpowiedzi. Nie wiadomo też jeszcze, kiedy Onet załata dziurę.

Po przekazaniu Onetowi informacji o odkryciu dokonanym przez naszego informatora Andrzej Zachwieja zapowiedział szybkie sprawdzenie sprawy. „Na wszelki wypadek zablokujemy działanie wszystkim użytkownikom bezpłatnych kont” – powiedział Andrzej Zachwieja. Rzeczywiście, krytyczna funkcjonalność poczty została w chwilę po tej rozmowie zablokowana. Termin naprawienia dziury nie został jeszcze podany.

Jest jeszcze kwestia ewentualnego dochodzenia swoich racji przez użytkowników na drodze sądowej. „Udowodnienie winy Onetowi byłoby w takim przypadku niezwykle trudne. Bardzo trudno teoretycznie rozważać szanse powodów. Podejmując działania, trzeba dokładnie przeanalizować umowę z portalem pod kątem zabezpieczenia poufności zapewnianego przez Onet. Ponadto trzeba wykazać poniesienie szkody – i w myśl prawa polskiego musi być to strata majątkowa. Byłaby to bardzo trudna sprawa i precedensowa” – powiedział Marcin Maruta z kancelarii Kuczek i Maruta.

Dziura nie dotyczy najprawdopodobniej kont komercyjnych założonych w Onet.pl – podobny mechanizm stworzenia sobie dostępu do innych kont nie mógł zostać zastosowany. Niewykluczone jednak, że także te skrzynki są wystawione na inne niebezpieczeństwa.

Problemy z odpowiednim zabezpieczeniem kont pocztowych miał swego czasu również Microsoft. Błąd umożliwiający swobodny dostęp do skrzynki pocztowej wykryto w systemie darmowych kont, udostępnianych użytkownikom w ramach usługi Hotmail. Problem był właściwie identyczny – każdy internauta, nawet dysponujący jedynie minimalną wiedzą techniczną, mógł przeglądać zawartość skrzynki innych użytkowników Hotmail. Błąd ów wykryto i usunięto w sierpniu 1999 r. Nie był to zresztą jedyny problem, jaki gigant z Redmond miał ze swoimi aplikacjami pocztowymi. Zbliżoną (choć trudniejszą do wykorzystania) lukę znaleziono również w programie Exchange 2000 (w usłudze: Outlook Web Access).

-----------------------------------------------------------------------------------------------------------------------------------------

19 lutego br. Onet przekazał w sprawie publikacji w Internet Standard komunikat następującej treści:

"Wskutek błędu popełnionego przy konserwacji systemu poczty darmowej, w ciągu ostatnich kilku dni - dla niewielkiej ilości kont pocztowych znajdujących się na jednym z serwerów - mógł wystąpić problem związany z błędnym działaniem funkcji przeglądania dodatkowych kont pocztowych. Problem ten mógł się pojawić tylko przy korzystaniu z interfejsu WWW i jedynie dla kont, które zostały zdefiniowane jako konta dodatkowe (zewnętrzne). Ponieważ dotyczył on bardzo ograniczonej ilości kont - sygnał otrzymany od jednego z użytkowników nie został od razu prawidłowo zdiagnozowany przez Biuro Obsługi Klienta. Przepraszamy wszystkich użytkowników i zapewniamy, że błąd ten został zidentyfikowany i całkowicie usunięty. Zapewniamy, że bezpieczeństwo poczty darmowej jest priorytetowym celem dla Onet.pl. Zaistniała sytuacja jest obecnie przedmiotem dodatkowej analizy rozbudowanych procedur zabezpieczenia bezawaryjnej pracy systemu."

czytaj też więcej w "Onet przeprasza":

http://www.internetstandard.pl/news.asp?newsid=3418

internetSTANDARD dostarcza najświeższe informacje i analizy z branży IT, e-commerce, reklamy i marketingu internetowego.

Znajdź nas

Kopiowanie, reprodukcja, retransmisja lub redystrybucja jakichkolwiek materiałów zamieszczonych w serwisie internetSTANDARD w całości lub w części, w jakimkolwiek medium lub w jakiejkolwiek formie bez oficjalnej zgody wydawnictwa jest stanowczo zabronione.