Džoukr má hodnotu všech symbolů!

Mějte mě za paranoidního hnidopicha, ale ČSA si se zabezpečením svého věrnostního programu OK Plus zadělává na pěknou blamáž. Proč? Protože ignoruje jednu ze základních zásad zabezpečení a ukládá si hesla uživatelů v plain textu.

Nedávno jsem chtěl zjistit, kolik mil vlastně mám a kam bych se mohl případně se slevou podívat, ovšem zapomněl jsem heslo. Využil jsem tedy standardní funkce "zapomenuté heslo" a očekával, že mi na mail dorazí hatmatilka typu "Qu4fx3jja98", kterou si poté v nastavení účtu změním na nějaké zapamatovatelné heslo. Jedná se o klasický postup, kdy je nové heslo posláno na mail těsně předtím, než se prožene hashovacím mechanismem (nejlépe ještě prosoleným) a uloží se do databáze tak, že ho už zpětně není možné zjistit (ano, možné to je, ale mluvíme o reálném čase). Ovšem jaké bylo moje překvapení, když místo nového hesla dorazilo to staré!

Legrační. Tedy do té doby, než se někomu podaří najít skulinku (třeba pomocí SQL injection) a vypsat si tabulku uživatelů systému, což by bylo sice nepříjemné, ovšem při standardním zabezpečení ještě ne tak tragické. Ovšem u OK Plus dostane zcela zdarma nejen loginy, ale také hesla (!!!) k účtům a pak už stačí si jen vybrat dobrou destinaci, nebo některý z mnoha pěkných dárků na eshopu (ano, dárky jde poslat na cizí adresu ;)).

Přeji příjemný let...