09.11.2017

Účtenková loterie z pohledu bezpečnosti

Uplynul měsíc od oficiálního spuštění Účtenkovky, naší nejznámější státní loterie, a za tu dobu se překvapivě mnohé stalo. Pojďme si tyto události shrnout a podívat se na loterii z pohledu bezpečnosti.

Cover 35

Účtenkovku, ambiciózní projekt, který mluvčí Ministerstva financí nazval jako “popularizační a edukativní projekt pro spotřebitele” a který si bere příklad ze slovenské Národné Bločkové Lotérie, provází už od začátku několik více či méně závažných problémů. Již v okamžiku spuštění servery Účtenkovky vykázaly první slabinu, kdy nezvládly úvodní zájem ze strany uživatelů, a staly se tak na nějakou chvíli nedostupné.

Zadávat účtenky je možné kromě klasického webového rozhraní také pomocí mobilní aplikace (dostupné pro iOS, Android a Windows Mobile). I ta, jak se ukázalo, ale trpěla určitými neduhy. Pomiňme fakt, že použité OCR pro rozpoznávání údajů na účtence nefunguje spolehlivě. Přece jen, stejně jako člověk, i stroj rozpoznává slova a věty spolehlivěji než náhodnou sekvenci znaků. Jak však upozornilo několik uživatelů, aplikace si žádala větší práva, než bylo nutné, například informace o hovorech. Mimo jiné je také mylně označena jako PEGI 3, přestože ji dle jejich podmínek mohou používat pouze osoby starší 18 let. A v neposlední řadě byla v aplikaci objevena také bezpečnostní díra, která umožňuje získat aktuální údaje o počtu vložených účtenek nebo počtu registrovaných uživatelů.

Loterie vyvolává obavy také z pohledu ochrany osobních dat. Podle uzavřené smlouvy přebírá za celý projekt odpovědnost externí firma Diebold Nixdorf, a tedy všechny zadané osobní údaje končí v jejich rukou. Kromě uživatelského jména, příjmení, čísla bankovního účtu apod. se také jedná o hodnoty DIČ, které jsou u některých obchodníků shodné s jejich rodným číslem. Jan Farský, člen hnutí STAN, tento podnět podal k prošetření Úřadu pro ochranu osobních údajů. Dle jeho slov totiž použití DIČ není nutné, což dokazuje například slovenská verze loterie.


Kromě těchto přešlapů je prý dále možné obejít omezení počtu účtenek na jednoho obchodníka denně, a to tak, že uživatel jednoduše své účtenky vloží pod více emailovými adresami a registraci provede až zpětně pro výherní email. A aby toho nebylo málo, s loterií samozřejmě také vznikly parazitní weby (Loterie-Účtenková.cz, wwwÚčtenkovka.cz, Účtenkovka.eu, ...), které z její návštěvnosti hodlají čerpat. Doufejme, že jen formou reklamy.
Více na www.uctenkovka.cz

Kam dál?