Hlavní obsah

Přišel o hry i účet na Steamu za desetitisíce. Kvůli hloupé chybě

Miloslav Fišer

Podceňovat zabezpečení svých účtů se rozhodně nevyplácí. Dvojnásob to platí o přístupu k e-mailové schránce, která slouží v podstatě jako brána do světa internetových služeb. Právě e-mail totiž používáme při registraci na různé platformy a následně i pro obnovení v případě zapomenutého hesla. Své by o tom mohl vyprávět hráč, který takto přišel o účet na Steamu i zakoupené hry. Chyba ho stála desítky tisíc korun.

Foto: archív výrobce

Ilustrační foto

Článek

Příběh, který se skutečně nedávno stal, popsali Novinkám manažeři společnosti Seznam.cz. Totožnost samotného uživatele neprozradili, v tomto článku bude figurovat jako Filip. Zveřejněním příběhu se snaží varovat ostatní uživatele, jak důležité je myslet na zabezpečení svých e-mailových účtů.

Filip si založil e-mailový účet na Seznamu. Z nějakého důvodu se ale rozhodl nenastavovat žádné dodatečné zabezpečení – záchranné telefonní číslo ani další e-mail, stejně tak nevyužil možnost dvoufázového přihlašování.

A to navzdory tomu, že Seznam uživatele pravidelně vybízí, aby potřebné údaje kvůli vlastní bezpečnosti doplnili. To, že udělal hloupou chybu, zjistil až později…

Email od Seznamu láká na novou vychytávku. Umožní snadněji třídit zprávy

Internet a PC
Foto: repro Steam

Herní platforma Steam

Žádný záchranný údaj

Podobně jako řada dalších lidí totiž využil svůj e-mail při registraci k herní platformě Steam, kde jako druhý faktor přihlášení využil kromě hesla také kód zasílaný právě do své elektronické poštovní schránky.

Heslo Filipa ale následně někdo zjistil, a tak získal neoprávněně přístup k jeho účtu na Seznamu. Kyberzločinec díky tomu snadno ovládal také účet na Steamu, kde byly zakoupené hry za desítky tisíc korun.

Bez jakýchkoliv záchranných údajů nebo ověření, nemá ani pracovník technické podpory jak poznat, jestli je uživatel právoplatným majitelem účtu či nikoliv.
David Finger, ředitel divize Email.cz a Mapy.cz společnosti Seznam.cz.

Pro útočníky je totiž velmi snadné prohledat schránku poškozeného a zjistit, jaké placené služby má na svůj e-mail napárované. Následně pak získají přístup i k nim. Hlavní chybou bylo samozřejmě to, že Filip nevyužil žádnou z mnoha možností zabezpečení svého Seznam účtu a tím se připravil i o jakoukoliv možnost účet z rukou útočníka včas zachránit.

„Neochota nastavit telefonní číslo nebo pocit ‚mně se to nemůže stát‘ mají pak za následek nepříjemně překvapené uživatele postavené do situace, kterou už není jak vyřešit, a to ani při vší dobré vůli na straně Seznamu. Bez jakýchkoliv záchranných údajů nebo ověření nemá ani pracovník technické podpory jak poznat, jestli je uživatel právoplatným majitelem účtu, či nikoliv,“ varoval David Finger, ředitel divize Email.czMapy.cz společnosti Seznam.cz.

Foto: Seznam.cz

E-mail.cz od Seznamu

Žádný happy end

Tento příběh tedy bohužel nemá žádný happy end. Hráč totiž nakonec přišel o svůj e-mailový účet na Seznamu a samozřejmě také o účet na Steamu. A v tuto chvíli neexistuje žádný způsob, jak by se mohl opětovně dostat ke svým datům či hrám.

Pro ostatní uživatele však může být tento příběh ponaučením. Účet na Seznamu totiž nabízí hned několik možností zabezpečení. Níže naleznete jejich přehled i s vysvětlením, proč jsou důležité.

Záchranné telefonní číslo a e-mail
Klíčové je nastavení záchranného telefonního čísla a e-mailu, které nejenže umožní obnovit přístup k účtu při zapomenutí hesla, ale také nám umožňují uživatele informovat v okamžiku, kdy na jejich účtu dojde ke změně hesla. Pokud takovou změnu udělá útočník, je ještě možnost změnu hesla zrušit a k účtu znovu získat přístup.
Dvoufázové ověření
Vhodné je také nastavení dvoufázového ověření při přihlášení, které samo o sobě efektivně zabrání přístupu k účtu i v případě, že uživatel své heslo třeba nechtěně vyzradí. Možností dvoufázového ověření je více, takže si každý může vybrat, co mu nejlépe vyhovuje. Nejedná se přitom i nikterak složité postupy – přihlásit se dvoufázovým ověřením jde třeba jen opsáním šesti číslic z mobilní aplikace.
MojeID a bankovní identita
Patrně nejsilnějším prostředkem je ověření účtu přes MojeID či bankovní identitu. To zajistí, že se uživatel dostane ke svému účtu i v případě, kdy útočník heslo zjistí, změní, a změní i jeho záchranné údaje. Ověření totiž funguje jako další záchranný prostředek a z účtu ho může odebrat jen ten, kdo má k bankovní identitě nebo MojeID přístup.
Přihlašovací údaje do banky si ale uživatelé přirozeně chrání mnohem lépe, než přihlašovací údaje do e-mailu. Navíc v obou případech jde opět o dvoufázový princip přihlašování, takže tento způsob zabezpečení je opravdu silný.
Nikdo se přitom nemusí bát, že by Seznam měl jakýkoliv přístup k jeho účtu, do banky nebo ke kreditní kartě. Banka i MojeID předá Seznamu při ověření jen základní informace, jako je jméno a datum narození a identifikační číslo. To je jednorázová akce, žádné propojení mezi bankou a Seznamem nevzniká, a to ani jedním směrem – banka se tedy vůbec nedozví, že uživatel má účet na Seznamu, nebo jeho e-mailovou adresu.

Ověřovat účty na Seznamu je možné prostřednictvím BankID

Internet a PC
Související témata:
Bankovní identita (BankID)
Seznam.cz
E-mail
Videohry

Výběr článků

Načítám