Największy portal w Polsce wygrywa w kolejnej konkurencji na polskim rynku – jest również portalem najbardziej dziurawym. Posiadacze bezpłatnych kont pocztowych w portalu Onet.pl (jest ich ok. 2,8 mln) mogą z poziomu WWW w prosty sposób przeglądać korespondencję pozostałych użytkowników poczty elektronicznej w portalu. Mogą wg upodobania zmieniać hasło dostępowe do tych skrzynek i prowadzić korespondencję w ich imieniu. Mogą również kasować wybrane wiadomości.

Takich niewiarygodnych informacjach dostarczył nam informator, który chciał pozostać anonimowy. "Zdecydowałem się ujawnić informację, ponieważ za długo czekałem na jakąkolwiek reakcję Onetu.pl. List z informacją o luce przesłałem do help-desku w ubiegły czwartek – tymczasem nie miałem problemu z wejściem do cudzych skrzynek jeszcze w poniedziałek" – wyjaśnia nasz informator.

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

"Czytać każdy może..."

Przeprowadzony w poniedziałek w południe w naszej redakcji test potwierdził wszystkie przekazane nam informacje. Bez większego zachodu można uzyskać dostęp do nieograniczonej liczby kont innych użytkowników. "Myślę, że Onet nie postępuje elegancko i za to powinna ich spotkać kara. Na razie ukarani mogą poczuć się bowiem jedynie ci, którzy liczyli na zapewnienie poufności korespondencji przez Onet.pl" – dodał nasz informator. Ze swojej strony, jak stwierdza nasz informator, wykazał maksimum przyzwoitości – poinformował o swoim odkryciu administratora kont pocztowych krakowskiego portalu. "Chętnie bym też zadzwonił, ale nie znalazłem na stronie żadnego numeru telefonu" – dodaje.

Jak zapewnia Andrzej Zachwieja, dyrektor działu komunikacji Onet.pl, na wszystkie nadesłane nieprawidłowości administratorzy poczty reagują "na bieżąco". "Dziennie otrzymujemy do kilku tysięcy listów do help-desku pocztowego. Na te najważniejsze reagujemy błyskawicznie, ponadto wszystkie archiwizujemy przez minimum pół roku" – stwierdza Andrzej Zachwieja. Jakim więc cudem informacja o tak dużej "dziurze" została pozostawiona bez żadnej reakcji? Pytanie to pozostaje bez odpowiedzi, warto się jednak nad sprawą nieco zastanowić. Nie wiadomo też na razie, kiedy Onet załata dziurę.

Po przekazaniu Onetowi informacji o odkryciu dokonanym przez naszego informatora Andrzej Zawieja zapowiedział szybkie sprawdzenie sprawy. "Na wszelki wypadek zablokujemy działanie wszystkim użytkownikom bezpłatnych kont" – powiedział Andrzej Zawieja. Rzeczywiście, krytyczna funkcjonalność poczty została w chwilę po tej rozmowie zablokowana. Termin naprawienia dziury nie został jeszcze podany.

Poza prawem

Pozostaje jeszcze kwestia ewentualnego dochodzenia swoich racji przez użytkowników na drodze sądowej. "Udowodnienie winy Onetowi byłoby w takim przypadku niezwykle trudne. Bardzo trudno teoretycznie rozważać szanse powodów. Podejmując działania, trzeba dokładnie przeanalizować umowę z portalem pod kątem zabezpieczenia poufności zapewnianego przez Onet. Ponadto trzeba wykazać poniesienie szkody – i w myśl prawa polskiego musi być to strata majątkowa. Byłaby to bardzo trudna sprawa i precedensowa" – powiedział Marcin Maruta z kancelarii Kuczek i Maruta.

Dziura nie dotyczy najprawdopodobniej kont komercyjnych założonych w Onet.pl – podobny mechanizm stworzenia sobie dostępu do innych kont nie mógł zostać zastosowany. Niewykluczone jednak, że także te skrzynki są wystawione na inne niebezpieczeństwa.

Problemy z odpowiednim zabezpieczeniem kont pocztowych miał swego czasu również Microsoft. Błąd umożliwiający swobodny dostęp do skrzynki pocztowej wykryto w systemie darmowych kont, udostępnianych użytkownikom w ramach usługi Hotmail. Problem był właściwie identyczny – każdy internauta, nawet dysponujący jedynie minimalną wiedzą techniczną, mógł przeglądać zawartość skrzynki innych użytkowników Hotmail. Błąd ów wykryto i usunięto w sierpniu 1999 r. Nie był to zresztą jedyny problem, jaki gigant z Redmond miał ze swoimi aplikacjami pocztowymi. Zbliżoną (choć trudniejszą do wykorzystania) lukę znaleziono również w programie Exchange 2000 (w usłudze: Outlook Web Access).