Podle bezpečnostního konzultanta Telefonica O2 Radka Smolíka, na něhož odvracelo všechny dotazy ministerstvo vnitra i provozovatel schránek Česká pošta, nejde o nový problém a budou-li uživatelé datových schránek opatrní, žádné riziko jim prý nehrozí.

Podle technického ředitele 4 Safety Miroslava Ludvíka ale pošta používá tzv. nedůvěryhodné certifikáty a není schopná uživatelům zajistit bezpečnou cestu k datové schránce.

K heslům mohou tisíce nepovolaných

K přístupovým heslům do datových schránek se podle něj mohou dostat řádově tisíce nepovolaných lidí. „Je to buď administrátor sítě daného uživatele, nebo administrátor u poskytovatele jeho internetového připojení doma,“ uvedl Ludvík.

Z připojení k datové schránce pak útočník uživatele odkloní po „objízdné trase“ přes vlastní web, kde si všechny zadávané údaje může přečíst.

Pronikli přes nastrčený certifikát

Do datové schránky se bezpečnostní experti dostali přes nastrčený falešný certifikát, který si musí instalovat každý uživatel datové schránky. Podle Smolíka je právě v tom slabina jejich ukázky, nevysvětlili totiž, jak se do počítače dostal.

Poté rozlepili obálku s přístupovými údaji k datové schránce spřízněné firmy a zatímco je jeden ze zástupců firmy zadával do počítače, druhý heslo přečetl z mobilního telefonu v zadním traktu místnosti.

„Oni to naaranžovali do podoby, kdy už falešný certifikát pro aktivaci schránky byl instalován. Kdyby ukázali, jak přesvědčí tisícovky uživatelů, jak ho tam dostat, pak bych to bral,“ uvedl Smolík, podle kterého lze podvrhnout falešný certifikát pouze tomu, kdo nedodrží správný postup přihlašování.