Příběh (ne)slavného e-shopu na dálniční známky upozornil na bezpečnostní riziko

Poslední lednový víkend se uskutečnil hackathon, jehož cílem bylo naprogramovat funkční informační systém elektronické dálniční známky za pouhých 48 hodin a zdarma. Akce měla poukázat na předraženou veřejnou zakázku Ministerstva dopravy na stejný projekt, který měl stát 401 milionů. Výsledek hackathonu však nechtěně upozornil i na jiný problém – zabezpečení osobních údajů na internetu.

Dálnice
JAN MŮČKA
  • JAN MŮČKA

  • 29. 01. 2020
  • 5 min čtení
Zkopirovat do schránky

Když se na začátku letošního roku objevila v médiích zpráva o zakázce na e-shop na dálniční známky za 401 milionů, překvapilo to nejen IT specialisty, ale i širokou veřejnost a také českého premiéra Andreje Babiše. Podezření vzbuzovala už skutečnost, že lukrativní zakázku získala firma Asseco Central Europe bez řádného výběrového řízení.

Elektronické dálniční známky má už například Slovensko, které za systém zaplatilo v přepočtu kolem 75 milionů korun. V Česku by tak podobné řešení stálo více než pětinásobek. K předraženosti zakázky se na Facebooku vyjádřil například i Jiří Hlavenka, spoluzakladatel brněnské společnosti Kiwi a krajský zastupitel Jihomoravského kraje. V příspěvku konfrontuje své podnikatelské zkušenosti v oblasti e-shopů se státní zakázkou na dálniční známky.

Vyjádření Jiřího Hlavenky k e-shopu na dálniční známky.

Vyjádření Jiřího Hlavenky k e-shopu na dálniční známky. Zdroj: Facebook

Jednoznačně největší pozornost ale vzbudil příspěvek Tomáše Vondráčka, šéfa agentury Actum, na LinkedInu. Rozhodl se totiž uspořádat veřejný hackathon, na kterém se naprogramuje kompletní systém s e-shopem za jediný víkend a zdarma. Chtěli tak poukázat na absurdní cenu celého projektu. Ambiciózní výzva oslovila desítky IT specialistů a hackathon s názvem “Znamkamarada” se v posledním lednovém víkendu doopravdy uskutečnil.

E-shop na dálniční známky není běžný e-shop

Než se však podíváme blíže na samotný hackathon a především na jeho výsledek, je nutné si trochu upřesnit, co je myšleno “e-shopem na dálniční známky”. Není totiž e-shop jako e-shop a v tomto případě se vlastně jedná jen o špičku ledovce celé veřejné zakázky.

“Informační systém elektronické dálniční známky nerovná se e-shop. Ten systém je daleko složitější a komplikovanější a musí respektovat některé požadavky, které vyplývají ze zvláštních právních předpisů,” uvedl pro Novinky.cz dnes už exministr dopravy Vladimír Kremlík, když obhajoval cenu celé zakázky. Ministerstvo dopravy na svém twitterovém účtu také upřesnilo, co všechno takový informační systém elektronické dálniční známky zahrnuje. Jedná se totiž nejen o e-shop, ale i uživatelský portál, mobilní aplikaci, call centrum, evidenci zaplacených poplatků registr osvobozených automobilů, kompletní účetnictví, clearing a v neposlední řadě zabezpečení.

Když se tak v médiích mluví o e-shopu za 400 milionů je to poměrně zavádějící. Je nutné si uvědomit, že celá architektura systému musí být provázána s nejrůznějšími státními registry a databázemi, které navíc podléhají přísnému zabezpečení.

Na hackathonu Znamkamarada se naprogramoval téměř celý systém

Šedesát programátorů, spolupráce s bankami i gastronomickými firmami, externisté včetně překladatelů, velký zájem médií, pizza a energy drinky. Tak by se dal v kostce shrnout hackathon Znamkamarada, jehož výsledky představil Tomáš Vondráček na tiskové konferenci v neděli 26. ledna po osmnácté hodině.

“Vytvořili jsme Enterprise řešení – 2 e-shopy s kompletním backendovým řešením, které jsou připraveny k napojení na registry státu,” řekl v úvodu konference Vondráček. V následujících minutách společně se svým kolegou Miroslavem Malinou popisuje, které ze čtrnácti bodů veřejného zadání Ministerstva dopravy se povedlo nebo nepovedlo naprogramovat.

Zcela nesplněné zůstaly pouze dva body – propojení na stacionární brány (zajištění anonymizovaných dat pro účely statistik) a propojení na enforcement (policii a celní správu), což podle Vondráčkových slov nebylo ani možné, protože jsou v režimu “důvěrné” a firma Actum tento status nemá. Částečně se nepodařilo splnit další tři body, účastníci hackathonu totiž neměli dostatečné přístupy ke státním registrům a databázím.

Na tiskové konferenci byla rovněž představena architektura celého systému, jehož jádro má integrovat všechny potřebné registry a databáze státní správy. Na něj jsou napojené další externí systémy a funkcionality, jako například zákaznický e-shop pro nákup známek. Dobrovolníci z hackathonu dokonce vyrobili hned dva e-shopy – jeden založený na moderním open-source systému React JS a druhý na licencovaném systému CMS Kentico, který se používá například pro webové stránky Ministerstva dopravy.

Představení architektury systému na tiskové konferenci po skončení hackathonu.

Tomáš Vondráček (vlevo) a Miroslav Malina (vpravo) představují architekturu naprogramovaného informačního systému. Zdroj: Facebook

Vondráček zmínil také hotové jazykové mutace nejen do angličtiny, němčiny, ale i polštiny a slovenštiny s tím, že se připravuje překlad do japonštiny, pokud by náhodou někdo chtěl cestovat z Japonska do Česka autem.

Krátce po konferenci byly zveřejněny oba funkční e-shopy na doméně ferznamka.cz a fairznamka.cz, kde si mohli zájemci zakoupit imaginární dálniční známku v hodnotě 1, 2 nebo 3 koruny, přičemž výtěžek půjde nadačnímu fondu Kolečko, který pomáhá dětem po těžkých úrazech.

Únik osobních údajů po 2 hodinách od spuštění

Publicita celé kauzy i samotného hackathonu způsobila, že za jediný den navštívilo oba e-shopy přes 170 tisíc lidí, kteří provedli přes 13 tisíc transakcí. Do objednávkového formuláře pak mnoho z nich zadalo své skutečné osobní údaje, jako je telefonní číslo, e-mail nebo SPZ vlastního vozidla. Krátce na to vyšlo najevo, že se někteří z nich vystavili možnému zneužití svých osobních údajů.

Po necelých třech hodinách od spuštění e-shopu upozornil IT specialista Ondřej Bárta na facebookové stránce Znamkamarda na zásadní problémy v bezpečnosti. Své tvrzení doložil i získanými informacemi o osobních údajích (ty posléze z bezpečnostních důvodů smazal). Poukázal například na absenci validace zadaných hodnot na serverové části a API vystavené na “http only”. Programátorům také vytýká, že nebyli schopni si dohodnout základní code style a míchají anglické a české názvy v API.

Následující den potvrdil Tomáš Vondráček, že skutečně došlo k úniku dat a že se jedná o řádově stovky lidí, které hodlají kontaktovat. Zjištěné chyby podle něj programátoři během noci opravili, a navíc byl vytvořen jednoduchý formulář pro hlášení dalších případných chyb.

Protest i nechtěné upozornění na ochranu osobních údajů

Ačkoli systém není zcela bez chyb a některé funkcionality je potřeba ještě doprogramovat, lze konstatovat, že hackathon splnil svůj primární cíl – ukázal, že je možné takovou zakázku zrealizovat mnohem levněji. Nedostatky v zabezpečení jsou sice neomluvitelné, ale bohužel jsou běžnou praxí reálně nasazených webových aplikací. Podle studie bezpečnostního analytika Vladimíra Smitka nepoužívá HTTPS protokoly pro celou doménu nebo jednotlivé stránky přibližně 31 % českých e-shopů. Absence tohoto protokolu je zásadním rizikem, které může vést k úniku osobních nebo přihlašovacích údajů a porušení GDPR, o kterém jsme už v minulosti psali. Celá kauza si proto zaslouží minimálně jedno další uznání. Díky vysoké publicitě upozornila na důležitou a stále tolik zanedbávanou bezpečnost informačních systémů a webů. Abyste se podobným problémům vyhnuli, připravujeme pro vás detailní článek o tom, jak správně řešit bezpečnost už při návrhu architektury systému.

Líbil se vám článek? Ano / Ne