Poslanec Farský, exministr Zaorálek i soudce Šámal.
E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun
Na internetu se dají získat za pár korun. Jak zjistil server iROZHLAS.cz a Radiožurnál, hackeři obchodují s e-maily a hesly téměř tisícovky českých ministerských úředníků, politiků či pracovníků justice. Ani po německé aféře, při níž se na internetu objevily osobní údaje a dokumenty stovek tamních politiků a známých osobností, přitom databáze uniklých e-mailů s koncovkou CZ žádný z úřadů systematicky nesleduje a kompromitované funkcionáře pravidelně nevaruje.
Volně dostupné jsou tak přihlašovací údaje například u šéfa Nejvyššího soudu Pavla Šámala či poslance Jana Farského (STAN). „Ano, bylo to historicky moje heslo,“ potvrdil zákonodárce. Celkově redakce v obří databázi, která obsahuje miliony uniklých adres, našla hned deset prominentních funkcionářů.
Seznam také obsahuje přes čtyři tisíce e-mailů, které nesou adresu některého z ministerstev či dalších státních institucí, jako jsou policie, státní zastupitelství, soudy či sněmovna nebo Senát. U necelé tisícovky těchto e-mailů jsou pak uvedena i pravděpodobně znějící hesla. Ta ovšem nemusí nutně odemknout právě zmíněnou e-mailovou schránku. Může jít o heslo, které někdo společně s daným e-mailem použil třeba pro registraci na sociální síti nebo v e-shopu.
Farský: Hesel mám desítky
Heslo poslance Farského bylo složené z několika písmen a čísel. Odkud přesně mohlo uniknout, si ale už zákonodárce nepamatuje. Není tak jasné, zda šlo o přístup přímo k poslanecké schránce či do některé z online služeb. „Těch hesel mám za ty roky desítky. V různých kombinacích. Není to tak, že by mi to bylo jedno,“ pokračoval.
Předseda poslaneckého klubu STAN Jan Farský únik hesla potvrdil, autor: Michaela Danelová
Nicméně, jak vyplývá z bezpečnostního monitorovacího nástroje haveibeenpwned.com, přihlašovací údaje zákonodárce utekly mimo jiné při útoku hackerů na profesní sociální síť LinkedIn. Incident vyšel najevo už v roce 2016. Žádné varování od úřadů ovšem podle Farského nepřišlo.
Dropbox i hacklí hackeři
Hesla unikala z regulérních služeb jako Dropbox nebo Adobe, část přihlašovacích údajů se ale na veřejnost dostala poté, co jednoho hackera naboural jiný a zveřejnil jeho databázi.
K únikům tedy pravděpodobně nedocházelo ze státních systémů. Uživatelé ale své pracovní adresy používali k registraci na nejrůznějších stránkách. Pokud by tytéž údaje nepoužívali na více webech, nešlo by o nic kritického. V opačném případě ale vzniká bezpečnostní riziko.
Redakce se celou věcí začala zabývat po aféře v Německu, kde se na internetu objevily osobní údaje a dokumenty stovek německých politiků a známých osobností včetně adres, čísel kreditních karet či soukromé korespondence.
„Je zvláštní, že mě o tom žádné naše bezpečnostní služby neinformovaly. Čekal bych, že tohle bude náplň jejich práce,“ doplnil Farský. Posléze přiznal, že zřejmě při zakládání soukromých účtů na internetu použil právě sněmovní e-mail.
Farský je však řadový poslanec, vážnější problém tak může únik přihlašovacích údajů znamenat u ministra vnitra Jana Hamáčka (ČSSD), který má pod sebou bezpečnostní složky. Také v jeho případě se totiž v hackerské databázi objevilo vedle služebního e-mailu i heslo. Hamáček ovšem tvrdí, že není pravé. „Mám svůj soukromý e-mail, který používám v různých aplikacích či systémech, ale sněmovní ani ministerský e-mail k žádným takovýmto věcem nepoužívám,“ uvedl.
Pro vysvětlení: pokud politik nebo úředník používá svůj pracovní e-mail pro neslužební účely, například pro nákupy na e-shopech, riskuje, že odsud jeho elektronická adresa unikne. To nutně nemusí být problém u poslanců, jejichž kontakty jsou veřejné. Například policie ale příslušnost svých lidí ke sboru tají.
Situace ale může být o to horší, že někteří lidé používají jedno heslo na více místech. Pokud hackeři spolu s e-mailem získají i heslo, často přihlašovací údaje automaticky zkouší na dalších webech a získají tak kontrolu nad dalšími účty. A nemusí to být nutně oficiální úřední systémy – ze sociálních sítí může útočník získat citlivé zprávy či fotografie a začít oběť vydírat.
Únik z Dropboxu či Bombuj.eu
V databázi, do které redakce nahlédla, jsou ještě další tři zákonodárci. Šéf poslaneckého klubu ČSSD Jan Chvojka, exministr zahraničí Lubomír Zaorálek (ČSSD) a poslanec ODS Jan Bauer. V jejich případě ale v uniklé databázi heslo nebylo uvedené. Všichni na dotaz uvedli, že sněmovní e-mail nevyužívají k soukromým účelům.
Následující přehled ukazuje deset státních institucí, u kterých byl únik služebních e-mailů nejčetnější:
Ministerstvo financí: 176
Ministerstvo spravedlnosti: 172
Ministerstvo práce: 123
Ministerstvo zahraničí: 68
Český úřad zeměměřický a katastrální: 63
Ministerstvo vnitra: 60
Český statistický úřad: 43
Ministerstvo zemědělství: 38
Ministerstvo školství: 36
Český hydrometeorologický ústav: 32
„Spoléhám na to, že máme ve sněmovně bezpečnostní útvar. Od něj nemám žádnou informaci, že bych já nebo moji kolegové měli mít nějaké problémy,“ reagoval třeba poslanec Bauer.
V jeho případě, stejně jako u Chvojky, měli hackeři ukrást přihlašovací údaje včetně hesel v roce 2012 ze služby Dropbox. „Sněmovní e-mail používám k pracovním účelům. Ostatní záležitosti řeším prostřednictvím svých soukromých účtů. Nikdo si dnes nemůže být jistý, že jsou jeho aktivity na internetu neprůstřelně chráněny,“ popsal Chvojka s tím, že se na internetu chová obezřetně.
Chvojky se přitom v roce 2016 dotkla také aféra kolem soukromé korespondence tehdejšího premiéra Bohuslava Sobotky (ČSSD), extremistický web White Media tehdy zveřejnil i několik jeho e-mailů. Od začátku ledna tento web nefunguje. Český Úřad pro ochranu osobních údajů ho nechal vypnout kvůli neoprávněnému nakládání s daty lidí.
E-mail exministra zahraničí Lubomíra Zaorálka (ČSSD) unikl loni v prosinci ze stránky s online pirátskými filmy Bombuj.eu, zdroj: Fotobanka Profimedia
Zaorálkův e-mail pak unikl loni v prosinci ze stránky s online pirátskými filmy Bombuj.eu. Politik ale tvrdí, že se na daný web nepřihlašoval. „Ta webová stránka mi nic neříká, já bych si to skoro dovolil vyloučit,“ řekl.
E-mailové adresy poslanců jsou volně přístupné na internetu a teoreticky by je tak mohl pro založení účtu použít někdo jiný. V tom případě by ale Zaorálkovi zřejmě přišel ověřovací e-mail, jak je to u většiny služeb.
Varování pro náměstka NBÚ
Mezi uniklými údaji figurují i e-mailové adresy některých vysoce postavených státních úředníků. Jde třeba o technického náměstka Národního bezpečnostního úřadu (NBÚ) Martina Fialku. Ten podle svých slov dostal už dříve varování, že by mohla být jeho pracovní adresa kompromitována. Z desítky zmíněných funkcionářů ovšem zůstává jediný.
„Je pravda, že takovou informaci jsem od kolegů, kteří dělají kybernetickou bezpečnost, dostal. Že se ten pracovní e-mail někde objevil. Žiju v domnění, že to bylo tak zhruba tři roky zpátky,“ popsal. Služební e-mail podle svých slov používá například pro přihlášení na mezinárodní akce. „Konference nebo veletrh. To jsou věci, kam i já standardně služební e-mail používám.“ Podobu hesla ale Fialka nepotvrdil.
Hackli mě? Stačí se zeptat
Pokud na stránce haveibeenpwned.com zadáte e-mail (například svůj ale můžete i cizí), dozvíte se, zda adresa figuruje v některé uniklé databázi s přihlašovacími údaji a můžete následně přijmout vhodná opatření. Tedy v první řadě si změnit uniklé heslo.
Účinnou obranu je použít každé heslo jen jedenkrát, k čemuž se používá program nazvaný správce hesel. Jak ale vyplynulo z ankety serveru iROZHLAS.cz, většina poslanců a senátorů nic takového nepoužívá. Redakce výsledky ankety zveřejní ve středu.
Přihlašovací údaje unikly i u politického náměstka ministryně financí Jiřího Volfa. Do resortu přišel v roce 2016, tedy ještě v době, kdy v čele resortu stál nynější premiér Andrej Babiš (ANO). „Pokud dostanu pozvánku na konferenci, která mě zajímá, což je tak třikrát do roka, tak to by bylo možné. Nákup (zboží – pozn. red.) ale ne, na to mám případně svůj soukromý e-mail,“ uvedl.
Konkrétní případ, odkud mohlo k úniku přihlašovacích údajů dojít, si nevybavil. Stejně tak nepotvrdil, že by uniklé heslo odpovídalo skutečných přihlašovacím údajům, které používá třeba pro elektronické bankovnictví či jiné online služby. „Hesla, která používám pro takovéto účely, si kupodivu pamatuji,“ řekl.
Volf, který na ministerstvu financí působil už v minulosti, zároveň upozornil, že resort kybernetickou bezpečnost nepodceňuje. „Dokonce jsem před několika měsíci musel absolvovat školení, které bylo uzavřeno testy. Takže jsem se na to ve svých 77 letech musel učit, bylo to docela náročné,“ popsal. Volf zároveň tvrdí, že na ministerstvu s žádnými citlivými informacemi nepracuje.
Rozdílně k celé věci přistupuje místopředseda Českého úřadu zeměměřického a katastrálního Karel Štencl. Podle něj se možnost kyberútoků přeceňuje. „Jsme správci významného informačního systému, takže jsme všichni dělali kybertest, který připravil NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost, pozn. red.). Já jsem to ale zvlášť neprožíval, možná až mě to vytrestá, budu mluvit jinak. V tuto chvíli mi to ale připadá jako přehnaná panika,“ uvedl.
Štenclův e-mail se objevuje v databázi hned třikrát. Uniklé údaje obsahují i přihlašovací heslo, to ale Štencl nepotvrdil. Stejně tak nevysvětlil, odkud přesně mohly údaje utéct.
Šámalův e-mail v trojici incidentů
Podobně utekly také údaje u předsedy Nejvyššího soudu Pavla Šámala. Jeho služební e-mail je v monitorovacím nástroji haveibeenpwned.com evidovaný hned v rámci trojice bezpečnostních incidentů. Jde například o únik přihlašovacích údajů ze vzdělávacího webu Edmondo či – podobně jako u Farského – ze služby LinkedIn.
Utekly také přihlašovací údaje u předsedy Nejvyššího soudu Pavla Šámala, autor: Anna Vavríková/MAFRA, Fotobanka Profimedia
„Já se k tomu vyjadřovat nebudu,“ reagoval Šámal po telefonu na žádost o oficiální vyjádření s tím, že si příchozí číslo redaktorky blokuje. Heslo, které se u jeho e-mailu na internetu objevilo, je však snadno uhodnutelné.
Mluvčí soudu Petr Tomíček posléze doplnil, že o prověření celé věci požádali NÚKIB. „Nechceme věc podcenit, kontaktovali jsme proto obratem jak manažera kybernetické bezpečnosti ministerstva spravedlnosti, tak úřad pro kybernetickou bezpečnost.“
Úniky se ovšem nevyhýbají ani expertům na ochranu osobních údajů. To je případ Igora Němce.
„O žádném incidentu nevím a ani jsem nikdy nebyl informován. Přes internet jsem se tak akorát přihlásil na konferenci, ale ne na sociální sítě ani e-shop,“ popsal někdejší dlouholetý šéf Úřadu pro ochranu osobních údajů, který nyní působí jako konzultant v komerčním sektoru.
Bezpečnostní opatření podle něj byly tehdy „standardní“. „Heslo se muselo například pravidelně měnit s kontrolou, zda se neopakuje žádné předchozí,“ uvedl. Němec současně odmítl, že by některé z uniklých hesel v minulosti používal.
Odpovědnost úřadů
Není přitom snadné se dopátrat, kdo z českých úřadů má případné úniky přihlašovacích údajů hlídat. Agendu měl dříve na starosti Národní bezpečností úřad, ten ale nyní dává od věci ruce pryč. „Kybernetická bezpečnost je od 1. srpna 2017 plně agendou Národního úřadu pro kybernetickou a informační bezpečnost,“ odmítl jakoukoli odpovědnost Jaromír Kadlec z kanceláře ředitele.
Databázi s uniklými e-maily, do které redaktoři serveru iROZHLAS.cz a Radiožurnálu nahlédli, využívají vedle hackerů také bezpečnostní experti pro monitoring a vyhodnocování hrozeb.
Seznam se prodává na nejrůznějších internetových fórech za v přepočtu asi 60 korun.
Samotný nákup přihlašovacích údajů či jejich užití za účelem průniku do cizích účtů je trestné.
Kdo v úmyslu spáchat trestný čin [...] neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 [...] nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává [...] počítačové heslo, přístupový kód [...] bude potrestán odnětím svobody až na dvě léta, propadnutím věci nebo zákazem činnosti.
Novinářské dotazy ovšem na první pokus u šéfa kybernetického úřadu Dušana Navrátila neprošly. Místo odpovědi odkázal na zpravodajce, kteří mají problematiku řešit. Ani u kontrarozvědky ale redakce nepochodila. „Je to záležitost jednotlivých institucí, organizací a firem, které musí provádět pravidelná školení a zajistit spravované sítě proti případným útokům,“ uvedl mluvčí BIS Ladislav Šticha.
Redaktoři se tak proto znovu obrátili na NÚKIB. „Nemáme kapacitu na to, abychom systematicky denně každou minutu projížděli všechny stránky na světě,“ řekl nakonec po urgencích mluvčí Radek Holý. Jeho úřad rovněž dostal k dispozici informace, se kterými se seznámil i server iROZHLAS.cz a Radiožurnál.
„Na základě vámi zaslaných informací mohu uvést, že jsme na úniky přihlašovacích údajů v minulosti upozorňovali dotčené subjekty dvakrát,“ uvedl Holý s tím, že část uniklých přihlašovacích údajů oznamovali dotčeným úřadům v květnu 2017 a následně v únoru 2018.
Úřad po správcích systémů požadoval „informaci o provedení restartu hesel.“ Dotčení uživatelé si tedy museli hesla do státních systémů změnit. Pokud je ale použili i jinde, například na sociálních sítích, neexistuje nástroj, který by je donutil ke změně i tam.