Praha - V pondělí před loňskými Velikonocemi dostal spolumajitel cestovní agentury Old Town Apartments Jan Opletal zvláštní e-mail. Jeho odesílatel po něm žádal sedm a půl milionu korun. Z internetového úložiště firmy totiž ukradl data klientů firmy za posledních 15 let a hrozil, že je zveřejní, pokud nedostane zaplaceno. A v příloze uvedeného e-mailu, který dorazil v půl šesté ráno, byla na ukázku i část ukradených dat. Mezi nimi byla třeba i čísla a bezpečnostní kódy platebních karet klientů.
O několik hodin později Opletalovi, jehož agentura vlastní v Praze několik hotelů, přišel další e-mail: tentokrát s fotografií trafostanice v pražských Nuslích. Tam prý má peníze uložit, zabalené v pytlíku na psí exkrementy.
Opletal se ale místo toho obrátil na policii a ta po zhruba dvou týdnech vyděrače, který se naboural do jejich úložiště, dopadla. Byl jím šestadvacetiletý Jan Mareš, kterému nyní hrozí až desetileté vězení. Soud začal případ projednávat toto pondělí. Kauza ovšem ukazuje ještě jedno: jak nedbale měla firma Old Town Apartments zabezpečena data svých klientů.
Jméno ondrejp, heslo ondrejp
"Bylo to zkratové jednání, které nedokážu odůvodnit," říká před senátem Městského soudu v Praze, který řídí soudce Kamil Kydalka, hubený muž, oblečený celý v černém. Svůj zkrat vysvětluje tíživou životní situací. "V prosinci 2014 jsem přišel o zaměstnání, v únoru se rozešel s dívkou, neměl jsem ani kde bydlet, tak jsem přespával u kamaráda," popisuje.
Právě ve firmě u kamaráda jej v druhé polovině února napadlo přihlásit se do sítě svého bývalého zaměstnavatele, půjčovny automobilů CARSLine, kterou vlastní Ondřej Martínek. Ta má společnou internetovou síť s již zmíněnou Old Town Apartments, se kterou úzce spolupracuje.
"Já tam měl tehdy přihlašovací jméno janm a stejné heslo. Zkusil jsem ondrejm a fungovalo to," popsal před soudem Mareš, který v CARSline pracoval před zhruba pěti lety dva měsíce. A jak před soudem vyšlo najevo, úplně stejně měli konstruována přístupová hesla a uživatelská jména i další lidé v obou firmách.
Mareš tak v polovině února stáhl data asi dvaceti tisíc klientů Old Town Apartments. A o zhruba šest týdnů později poslal uvedené e-maily. Před soudem v pondělí několikrát opakoval, že to bylo v opilosti a nemyslel to vážně. A prý se ani poté nebyl podívat na určené místo u trafostanice, kam měl Opletal donést peníze.
Nečekali jsme, že to někdo zneužije
Tomu ale nevěří sám Opletal. "Ten první e-mail byl propracovaný, měl čtyři stránky, psal, že je napojen na naše telefony a sleduje, co vše děláme. Navíc ta data postahoval několik týdnů předtím," popisoval Opletal, který se prý obával natolik, že zvažoval, zda má posílat děti do školy.
A případné zveřejnění ukradených dat více než dvaceti tisíc klientů mohlo podle Opletala značně poškodit jeho firmu. "Mohla vzniknout nedůvěra k naší společnosti a klesnout poptávka,“ popisoval.
Uvedená data šlo jednoduše zneužít: byla mezi nimi nejen čísla platebních karet včetně jmen a dat narození klientů, ale také jejich datum expirace a třímístný bezpečnostní vin kód – tedy údaje, prostřednictvím nichž se platí na internetu. A každý tak majitelům karet mohl "vyluxovat" jejich účty.
Sám Opletal přiznává, že zabezpečení nebylo příliš dokonalé. A že používali hesla, která byla stejná jako přihlašovací jméno. "Ten systém nebyl stavěn s předpokladem, že bude zneužit," vysvětlil a dodal, že ihned po aféře změnili a zpřísnili veškeré přístupy do systému.
Odškodné za ztracený čas
I když nakonec policie Mareše vypátrala a ten ani žádná data nezneužil, podle Opletala je prý velmi poškodil. Žádá odškodnění 140 tisíc korun.
Deset tisíc korun chce proplatit za IT analýzu bezpečnosti, třicet tisíc korun pak za třicet hodin ztraceného pracovního času, kdy museli aféru řešit. Navíc si nárokuje sto tisíc korun odškodného za nemajetkovou újmu. "Celá rodina žila ve strachu z anonymní hrozby," poukázal.
Soudce Kydalka případ odročil na konec dubna, kde chce vyslechnout znalce z oboru psychiatrie a vynést rozsudek.
