Z blogu EHW: APC se nestará o bezpečnost zákazníků

9. 4. 2011

Sdílet

 Autor: Redakce

Zhruba před třemi měsíci jsem se ocitl v úzkých – potřeboval jsem nutně nainstalovat do jednoho počítače konfigurační aplikaci k záložnímu zdroji APC BackUPS RS 500. APC PowerChute Personal Edition je zdarma přibalen ke každému záložnímu zdroji tohoto výrobce.

Jenže já jsem médium s aplikací samozřejmě nechal ležet na stole v
práci a vracet se mi ani náhodou nechtělo (komu taky jo?). Rozhodl jsem
se stáhnout si aplikaci z internetu, a proč hledat po různých pochybných
stahovacích portálech, když výrobce má tak hezké stránky.

V seznamu produktů jsem vylistoval konkrétní model, aplikace mi
okamžitě byla nabídnuta ke stažení. Teda hned po registraci. To byla
první chvíle, kdy jsem měl chuť odejít (a měl jsem) a poohlédnout se
jinde. Jenže čas tlačil a já se těšil domů. Vložil jsem tedy svou
e-mailovou adresu a heslo, obratem během pár minut přišlo potvrzení
registrace a já mohl konečně stáhnout aplikaci.

Software jsem uložil na flashdisk a zařekl se, že už jej nikdy
nesmažu. Ruka osudu však zasáhla a rozhodla, že budu do stejné situace
vržen znovu. Díky technické zručnosti jednoho kamaráda se z USB disku
stal kus opáleného plastu (nikdy nestrkejte nic do front panelu, který
jste si sami nezapojili).

Zkrátka včera jsem potřeboval opět nainstalovat monitorovací aplikaci
a médium bylo v nedohlednu. Heslo pro přihlášení na web jsem stihl
zapomenout, tak jsem se chtěl opět zaregistrovat. Databáze uživatelů mi
to nedovolila, jelikož a protože už záznam k mému e-mailu měla. Mou
šancí byl kouzelný odkaz „forgott password?“, kterého jsem využil.

ICTS24

Bláhově jsem čekal, že obdržím e-mail s vyresetovaným, náhodně
vygenerovaným heslem. V poště se v cuku letu objevila zpráva s mým
původním heslem. Zůstal jsem sedět jako opařený a nevěřil jsem vlastním
očím.
Pro ty z vás, co nechápou – to, že jsem obdržel heslo, které
jsem sám zadal, znamená, že APC ukládá hesla do databáze v plain-textu,
tedy nešifrovaná. To může mít nedozírné následky. Pokud se hacker
dostane k databázi, má k dispozici dva sloupce – e-mail uživatele a
heslo.

Ruku na srdce, kolik z nás vymýšlí pro každou registraci nové heslo?
Zkušenost je taková, že většina uživatelů má stejné heslo pro přístup k
e-mailu, kecálkům, počítači, sociální síti. Díky APC se z vás může během
okamžiku stát spamovací centrála, nemluvě o tom, že někdo cizí má
přístup k vašim osobním datům…

Autor článku