Krátce poté, co v neděli tým dobrovolníků spustil po dvoudenní nonstop práci stránku Ferznamka.cz, se na internetu objevily osobní údaje lidí, kteří si mezi prvními nákup pomyslné dálniční známky vyzkoušeli. Uniklo jejich jméno, e-maily, telefonní čísla a SPZ aut. Někdo využil banální bezpečnostní chyby, do systému pronikl a data zveřejnil.
Organizátor hackathonu Tomáš Vondráček připouští, že vývojáři udělali chybu. Penetrační test, který hodnotí zabezpečení systému, vývojáře na bezpečnostní nedostatek upozorňoval. "Někdo z týmu problém neodstranil, ačkoliv si na poradě odsouhlasili, že se to odstraní. Na druhou stranu se nemohu na vývojáře zlobit. Dali jsme jim hodně krátký termín, do toho byli pod obrovským tlakem i zvnějšku kvůli tomu, že tu byli politici a média," popisuje Vondráček.
Programátoři začali na IT systému pro dálniční známky pracovat od páteční šesté hodiny odpolední, za 49 hodin pak e-shop spustili. Řada z nich během víkendu spala jen pár hodin, jak již Aktuálně.cz popsalo v reportáži z akce.
Bezpečnostní chyba byla zhruba hodinu od spuštění odstraněna, do té doby však unikly údaje o zhruba dvou stovkách lidí. Vondráček však zdůrazňuje, že data rozhodně nebyla volně přístupná. "Objevil se zloděj dat, hacker, který systém napadl a data vynesl ven. Ačkoliv nesnižuji naši zodpovědnost, protože jsme měli aplikaci lépe zabezpečit, tak ve skutečnosti by se pozornost měla soustředit na člověka, který útok provedl," myslí si Vondráček. Situaci pak přirovnává k sice zavřenému, ale nezamčenému autu, které následně zloděj ukradne.
Organizátoři již únik dat nahlásili také na Úřad pro ochranu osobních údajů. Jeho mluvčí Tomáš Paták potvrdil, že se úřad případem zabývá. "Stejně jako v obdobných případech shromažďujeme informace," říká mluvčí. Zdali správcům webové stránky za špatně zabezpečený systém hrozí nějaká sankce, úřad zatím komentovat nechce. "Hovořit o případných sankcích je v této chvíli předčasné," dodává Paták.
Oblíbený cíl hackerů
Vondráček tvrdí, že totožnost toho, kdo data vynesl na veřejnost, s vysokou pravděpodobností znají. Po konzultaci s právníky chce podat trestní oznámení. Zároveň zvažuje, že podobně bude postupovat i proti dalším útočníkům. "To nebyl jediný útok, ačkoliv byl jediný úspěšný. Tím, jak je web populární, je pod tlakem dalších lidí, takže nám na web útočí každý den několik hackerů a pokouší se ho zneprovoznit nebo dobít se k informacím. V některých případech jsme identifikovali, z jakých IP adres útok přichází, někdy dokonce i konkrétního člověka," říká Vondráček.
Majitel digitální agentury Actum přišel s nápadem na hackathon poté, co se v médiích objevila informace, že stát hodlá za IT systém na dálniční známky a jeho čtyřletý provoz zaplatit firmě Asseco Central Europe 401 milionů korun bez DPH.
Na jeho výzvu na sociální síti LinkedIn se ozvala stovka dobrovolníků, která chtěla systém za víkend naprogramovat, protože jim hodnota zakázky přišla výrazně předražená. E-shop byl úspěšně spuštěn po 49 hodinách práce. Lidé si na něm mohou symbolickou dálniční známku koupit za jednu až tři koruny a tím přispět na dobročinné účely. Premiér Andrej Babiš poté, co stát zakázku po kritice zrušil, prohlásil, že pokud bude systém funkční, mohl by ho stát začít využívat.
