Našel chyby na webu Starbucksu. Dostal za to tisíce dolarů

Weby jsou zranitelné, jenže velké firmy si zranitelnost nemůžou dovolit. Proto některé vyhlašují speciální výzvy pro IT odborníky, aby jim pomohli slabá místa v zabezpečení systémů najít. K jedné takové se přidal i student Fakulty informatiky MU Patrik Hudák.

Kávovému řetězci Starbucks pomohl odhalit problém, který nakonec firma ocenila dvěma tisíci dolarů. A pak ještě jeden, odměněný stejnou sumou. Zabezpečení webů je Hudákovo velké téma. Psal o něm už bakalářku a teď na jaře i magisterskou práci, kterou úspěšně obhájil na výbornou.

Už při škole navíc pracoval pro jeden bezpečnostní start-up, který se podílí na vylepšení zabezpečení webů firem. Lidé jako on dokážou velmi dobře vyhmátnout i nové typy zranitelností a přesně do této kategorie spadal i problém, který Hudák našel u webu kávového řetězce jako první.

Zatím si ho uvědomuje jen málo odborníků, natož firem, takže řešit se ho daří jen pomalu a postupně. Konkrétně tuto zranitelnost popisuje jen několik málo odborných textů, a to přesto, že případy, kdy se něco takového objevilo, jsou staré už nejméně čtyři roky. Shrnout se to dá pod pojem převzetí subdomény a hodně to souvisí s využíváním cloudových služeb, tedy virtuálních úložišť.

„Pokud chcete například vytvořit e-shop, můžete si ho udělat na svém serveru, nebo využít cloudovou službu, což má za určitých podmínek svoje výhody. Koncový uživatel to nepozná, protože e-shop má adresu, která se tváří jako vaše, ta reálná je ale jiná, odkazuje totiž i na poskytovatele služby,“ naznačuje Hudák.

Aby došlo k propojení poskytovatele cloudu a webu objednavatele služby, musí se vytvořit elektronické spojení obou stran. A právě to může být později problematické. Když objednavatel službu přestane potřebovat a přestane ji platit, „jeho“ webová adresa už bude nefunkční, ale napojení na jeho web zůstane živé. Když si pak někdo jiný objedná službu a záměrně si řekne o stejnou adresu, dokáže se pak virtuálně tvářit jako původní majitel a využít toho k nekalému jednání.

Tento základní popis může nabírat při reálném použití různá specifika. Hudák ho popsal ve své diplomce a k tomu si vytvořil nástroj na ověřování domén, aby našel konkrétní příklady a svoji teorii potvrdil i v reálném technickém životě. Zaměřil se přitom na firmy, které pomoc tohoto typu honorují nebo oceňují aspoň nějakou jinou formou, aby si na tom ještě jako student udělal jméno.

„V případě Starbucksu spočívala první zranitelnost v doručování obsahu webu, který je pro zajištění větší rychlosti umístěný na různých serverech na různých místech. Díky tomu jsem byl ale schopný kontrolovat obsah domény,“ popisuje Hudák, který našel něco jako boční zapomenutý vchod. S jeho využitím mohl na web umisťovat jakýkoliv vlastní obsah.

Najít takový boční vchod není jednoduché, a pokud se to povede, není takových možností moc. Proto když Hudák chybu, kterou našel, firmě hlásil, označil ji jako málo nebezpečnou. „Proto mě to dost překvapilo, když sama společnost klasifikaci za dva dny změnila na vysokou. Nabízel jsem jim i pomoc, ale nikdo se neozval. Čtyři měsíce se nic nedělo a potom mi v červenci přišel e-mail, že děkují, případ uzavřeli a posílají mi dva tisíce dolarů,“ vypráví Hudák.

Částka ho překvapila. Běžné jsou odměny v řádu stovek dolarů. Další překvapení nastalo, když našel čerstvý absolvent u stejné firmy obdobnou chybu a ona mu vyplatila další dva tisíce dolarů. Hudák má hlavně na honorované programy čich. Na internetu má i vlastní stránku, kde se může každý podívat, komu všemu a jaké problémy reportoval.

Aktuálně zvažuje také to, že by si založil vlastní bezpečnostní start-up. Podobná odhalení podle něj budou přibývat. Poskytovatelé cloudových služeb totiž zatím před problémem spíš zavírají oči. Zájemci většinou pronajmou cloudový prostor pod názvem, o jaký si řekne, aniž by cloudový poskytovatel ověřoval, jestli se tím nezasahuje do vlastnických práv někoho jiného.