DVTV i Oktagon. Etický hacker objevil chybu nejznámějšího správce videí v Česku
Etický hacker Marek Tóth objevil chybu u nejznámějšího českého správce video obsahu – Tivio Studio. „Původně jsem je testovat nechtěl, uklikl jsem se,“ říká muž, který se dostal k obsahu DVTV, Oktagonu, Čestmíra Strakatého, Ondřeje Koběrského a dalších.
Je jednou z nejviditelnějších tváří české kyberbezpečnosti a jeho nejnovější odhalení se týká Tivio Studia, platformy pro správu a distribuci videí, u níž odhalil kritickou chybu. Marek Tóth, etický hacker a hledač zranitelností, se jediným zásahem do URL dostal k šestnácti tisícům nahrávek v originální kvalitě, včetně neveřejných a teprve plánovaných videí.
V exkluzivním rozhovoru pro Forbes popisuje, že v ohrožení tak byli tvůrci jako Oktagon, DVTV či Stargaze, také VOD služby typu KVIFF Channel a Starmax TV a stahovat šly i Blu-ray soubory. Neopomněl ani to, že oprava této chyby na sebe musela nechat čekat dva měsíce, i když reálně to bylo práce na pár minut.
Tóthovo jméno Českem rezonuje. V minulosti „eticky hacknul“, rozumějte odhalil chyby a upozornil na ně, Herohero, Shoptet, Rohlík, Košík, Fortunu či Seznam. Přitom se profiluje pragmaticky. Firmám ukazuje, kde mají slabá místa v práci s koncovým uživatelem, a veřejnost o tom, včetně své odměny, informuje.
V Česku podle něj chybí odpovídající motivace a standardy odměn za hlášené zranitelnosti, což zvyšuje reputační riziko i tlak „řešit to potichu“. Jeho práce má přitom ohlas i v zahraničí, jako jediný Čech za posledních 33 let byl v srpnu vybrán na největší hackerskou konferenci DefCon díky svému průlomu ve správcích hesel.
Podle čeho si vybíráte stránky, které testujete?
Vybíral jsem si společnosti, které mají velké množství uživatelských dat a měly by být bezpečné. V rámci zákona jsem se tam snažil najít chybu a našel. Potom jim pošlu celý report a odměnu za to nechám na nich. Toto celé potom zveřejním. Zaměřoval jsem se nejprve na české společnosti jako třeba Tipsport, Fortuna i Shoptet. Popsal jsem, jaké chyby jsem našel, a v Česku to mělo ohlas.
Jaká částka je adekvátní za odměnu za nalezení zranitelnosti?
Záleží na typu zranitelnosti a velikosti společnosti. Aby pro nás byla nějaká motivace pro nahlašování, tak by to mělo začínat na stech tisících korun. Tuto částku žádná česká společnost nenabízí. Jsou některé firmy, které mají interní ceník na oceňování chyby a maximální částka se pohybuje na šedesáti až sedmdesáti tisících korun, což je zlomek.
A ty zahraniční?
Třeba sociální síť X by rozkliknutí odkazu na vlastní síti, který vám ukradne data, ohodnotila v rozmezí pěti až osmi tisíci dolary. To je také zlomek vůči dopadu, který by to mohlo mít. Spíš to mnohé hackery vede k přeprodeji metody na šedém trhu, kde je tato hodnota násobně větší.
Herohero, Seznam, Shoptet. „Hacknutí“ těchto stránek vás proslavilo. Co tam bylo za chyby?
Obecně mě trápí oblast uživatelských údajů. U Shoptetu se šlo dostat do režimu administrátora a potom stačilo, abyste otevřela objednávku, a bylo to napadnutelné. Já bych vás odhlásil, změnil e-mail, měl k dispozici všechna data, vygeneroval bych si slevové poukazy nebo změnil platební bránu.
Mám permanentní přístup do vašeho e-mailu a to je špatně. V tu chvíli nepomůže ani dvoufaktorové ověření.
A Seznam?
U Seznamu to byl podobný princip. Mohl vám například od podpory přijít e-mail s odkazem na Seznam, že se někdo přihlásil do vašeho účtu, vy kliknete na odkaz a je vymalováno. Mám permanentní přístup do vašeho e-mailu a to je špatně. V tu chvíli nepomůže ani dvoufaktorové ověření.
E-mail je nejdůležitější část vašeho působení na internetu, všechny vaše služby jsou na něj napojené. Na Seznamu jsem našel i takzvaný zero-click, což znamená, že k tomu kliknutí nemuselo ani dojít. Dodám ještě, že mnoho politiků v Česku právě Seznam používá.
Jak vás za to Seznam ohodnotil?
Tuším, že nějakých 35 tisíc korun.
Zpoplatněná videa zdarma
Teď jste zveřejnil chyby u správce videí Tivio Studio. K němu jste se dostal jak?
Původně jsem je testovat nechtěl, uklikl jsem se. Zkusil jsem zadat něco do URL a došel k chybě. Přemýšlel jsem, jak běžným uživatelům ukázat další dopady této chyby. Jak by to mohl útočník dále zneužít.
Říká se „neklikejte na nedůvěryhodné odkazy“. A co klikání na odkaz dvtv.cz, to je důvěryhodné? Nalezenou bezpečnostní chybu jsem použil právě k dočasné změně obsahu na DVTV.
Uživatel, který otevřel můj odkaz, se dostal na jejich běžné stránky. Žádné chybné písmeno v doméně, opravdové stránky, a uviděl tam investiční platformu nebo novou DVTV crowdfundingovou kampaň. Vše bylo na důvěryhodné doméně včetně spustitelného videa. Stačilo jen, aby uživatel vyplnil údaje, a útočník získal od oběti peníze.
Co bylo pak?
Pak jsem viděl rozhovor Martina Veselovského s Daliborem Cicmanem, zakladatelem GymBeamu. Bylo to v RSS čtečce s URL končící .mp4, což nedávalo smysl. Otevřel jsem si odkaz, uviděl token, smazal ho a pak i zbytek parametrů v adrese a dostal se k výpisu všech nahraných videí od všech tvůrců u Tivio Studio.
Neměli ošetřené to, že se cizí uživatel dostane, kdybych to přirovnal, k výpisu všech souborů na Google Drive. Viděl jsem, jaké je identifikační číslo tvůrce videa a videa samotného. Následně jsem rozpoznal, jaký tvůrce to je, a viděl jsem tam výpis všech souborů.
Všech? Kolik jich bylo?
V té době šlo o šestnáct tisíc videí. Mohl jsem si stáhnout video či videokurzy třeba od tvůrců jako Oktagon, DVTV, Stargaze, tím pádem Čestmír Strakatý, Ondřej Koběrský a Vojta Žižka. Soubory byly v originální kvalitě, takže z metadat šlo vyčíst používaný software, operační systém nebo názvy profilů ve Windows.
Tivio Studio má pod sebou i VOD platformy jako KVIFF Channel a Starmax TV. Dalo se stahovat i šedesáti- až sedmdesátigigabitové originální filmy v Blu-ray kvalitě od českých a zahraničních distributorů.
Takže takové Uloz.to…
Ano, vše bylo zdarma. Navíc ale šlo stahovat neveřejná videa, plánovaná k pozdějšímu vydání. Zpětně navíc nešlo spolehlivě zjistit, co se stahovalo a zda došlo ke zneužití informací, protože šlo těžko rozlišit mezi legitimním přehráváním a stažením.
Kdy jste to začal řešit?
Chybu jsem nahlásil devátého prosince a opravena byla jedenáctého února. Přitom oprava byla v zásadě na pár minut, šlo o to zakázat výpis souborů. Jednu jinou chybu opravili hned po reportu, ale tuto nechali přes dva měsíce.
Jaké máte pocity, když vidíte ty časové prodlevy?
Bylo to frustrující hlavně kvůli tvůrcům. Nemohl jsem je varovat, protože bych tím zároveň dával návod ke zneužití. Záměrně jsem firmu neurgoval, chtěl jsem mít prostor pro vlastní výzkum, bral jsem to jako jejich vizitku.
Jak by měla firma reagovat, když je upozorněna na zranitelnost?
Měla by reagovat co nejrychleji. Nejde jen o to opravit chybu, ale i o to, aby uživatelé věděli, že byla identifikována a opravena. Odpovědnost firmy je jasná. Musí udělat všechno pro to, aby uživatelé byli chráněni a aby v budoucnu došlo k lepší prevenci. A samozřejmě: důležitý je i dialog s těmi, kdo chybu nahlásí. Dobrá komunikace je klíčová.
Proč nejsou firmy dostatečně chráněny už od počátku?
Programátoři nemají za úkol bezpečnost. Mají za úkol to, aby to fungovalo tak, jak chce management. Firmy nemají bezpečnost na prvním místě, je to pro ně doplňková služba. Důležité pro ně je, aby jim fungoval produkt.
Třeba u Herohero šlo poznat, že tam ani neproběhl bezpečnostní test. Chyba, kterou jsem našel, je první, co se zkouší během testování. Tenkrát v roce 2023 jsem na tom dělal celé Velikonoce a našel jsem na sedm velkých bezpečnostních chyb.
Firmy nemají bezpečnost na prvním místě, je to pro ně doplňková služba.
V momentě, kdy pošlete report, sledujete ještě, jak s tím daná firma nakládá?
Ano, monitoruji to pak pro celistvost příběhu, který zveřejním na svých stránkách, aby to mohlo sloužit k plné informovanosti uživatelů. Třeba Herohero jsem to poslal jeden den ve čtyři odpoledne celý report a v devět večer už byly nejvážnější věci opravené.
Vždy se jedná ale o to, že já hledám cestu, kudy se dostat k uživatelským údajům, není to penetrační test. Za půl roku jsem u nich na stránkách ale viděl další chyby, kdy jsem mohl vidět adresu a čisté příjmy daného tvůrce.
Nepotřebujete školu, ale informace
Jak jste se ke specializaci etického hackera dostal?
Mám střední školu informačních technologií, začínal jsem na technické podpoře a postupně jsem objevil pozice jako IT tester. Ale v tom momentě už mě lákala bezpečnost. Neměl jsem ale hlubší znalosti, dost jsem se v tom plácal a pak jsem samostudiem zjišťoval, jaké zranitelnosti existují a jak se proti nim bránit. Aktivně jsem se tomu začal věnovat v roce 2018.
Potřebuje člověk školu, nebo stačí samostudium?
Školu nepotřebujete, potřebujete informace. Já jsem se učil z anglických zdrojů, protože v českém prostředí do dnešního dne mnoho kvalitních zdrojů není.
Co vás na bezpečnosti lákalo? Co byla vaše inspirace?
Lákalo mě to, že bych mohl na stránkách najít chyby, které bych mohl využít. Postupně jsem zjistil, že to není tak, jak jsem si představoval, ale i tak mě to bavilo. Byl jsem ovlivněn filmy, kde se to takhle ukazovalo, a chtěl jsem to vyzkoušet sám. Nešlo mi o zneužívání, spíše o to, jak funguje ten proces.
Proč jste se rozhodl pro etickou dráhu?
Jsem rád na svobodě. (Smích) Snažil jsem se držet etických hranic a ujišťoval se, že nezneužiju to, co najdu.
Jak se vám podařilo dostat se na špičku?
V Česku je dost schopných lidí v mém oboru. Já na svých osobních stránkách zveřejňuji věci a tím pádem je vidět, co dělám. Jsou i lepší lidé než já, ale ti nezveřejňují to, co najdou. Já chci, aby to měla možnosti vidět a vědět laická i odborná veřejnost.
Ale podařilo se vám přednášet na mezinárodní hackerské konferenci…
Ano, mě a můj výzkum si vybrali na největší hackerskou konferenci na světě DefCon. Měl bych být prvním a jediným Čechem na webovou bezpečnost, který se tam dostal za 33 let. To je známka ocenění té komunity, bylo tam nějakých 670 přihlášek a vybrali 115.
Proč si na DefCon vybrali zrovna vás?
Zvolili mě kvůli mému výzkumu o správcích hesel. Je to nástroj, který se v IT bezpečnosti mnohdy doporučuje, ale já jsem ukázal novou techniku, jak lze získat data pouze tím, že kliknete na stránku. Odsouhlasíte cookies a já získávám číslo vaší platební karty, expiraci a ověřovací kód.
Jaké konkrétní správce hesel jste testoval?
Testoval jsem jedenáct správců hesel, všechny byly zranitelné nejen na platební karty, ale i na osobní údaje. Některé byly velmi známé, jako LastPass, Proton Pass, Bitwarden a další. Objevil a popsal jsem novou techniku, které se tím pádem oni neměli jak bránit.
Co vás k této činnosti motivuje?
Dělám něco, co má reálný dopad a pomáhá to chránit uživatele. Chci přispět k tomu, aby byl internet bezpečnější.
Proč vám tolik záleží na koncovém uživateli?
Často jsem sám koncový uživatel a chci, aby služby byly v pořádku. U Seznamu třeba neproběhla ani dostatečná komunikace směrem k uživatelům o tom, co si mají zkontrolovat. Beru to jako odpovědnost dělat osvětu. Když to najdu já, testuji a komunikuji. Nikdo jiný to za mě nepopíše.
Jaký nejtěžší etický moment jste zažil?
Nejtěžší jsou situace, kdy to chci zveřejnit a firmy to chtějí ututlat. Výrazně navýší částku, abych to nezveřejnil. Pokud je ale nález technicky nebo dopadově zásadní, zveřejním to kvůli uživatelům. O tom nediskutuji.
Půjde ve vašem dalším projektu zase o ukliknutí?
No, ono už se to stalo. Ale mám dilema, jestli se tomu věnovat, nebo se sebevzdělávat, posouvat se a prioritizovat jinou práci, která je pro mě zajímavější.
Co plánujete do budoucna? Co vás láká?
Rád bych se zaměřil na výzkum pokročilejších technik a metod, které by měly širší využitelnost.
The post DVTV i Oktagon. Etický hacker objevil chybu nejznámějšího správce videí v Česku appeared first on Forbes.