Malé podvečerní drama

Nechceme nic tutlat nebo se snažit zamést fakta pod kobereček. Či snad dokonce tvrdit, že to pro nás vlastně je výborná reklama, jako to kdysi udělala společnost SEO Expert ohledně svého kritizovaného produktu SEO analyzátor a dočkala se následně ne zrovna pochvalného článku Daniela Dočekala.

Rádi bychom se však podělili o ponaučení, která jsme si z toho všeho vzali.

Průlet Twitterem

Většina lidí, kteří se o všem dozvěděli, měla pravděpodobně své informace z Twitteru. Což vzhledem k tomu, jaká skupina obyvatelstva se na této sociální síti vyskytuje, není pro digitální agenturu úplně ideální. Prvním tweetujícím byl @mhumpolec a následovali další. Samozřejmě včetně retweetů.

25.října 2011 16:21:27
mhumpolec: Hackovani stranek Coop v primem prenosu sklizi salvu smichu. #sorrykluci#webtop100

25.října 2011 16:24:40
krumpacz: V realnem case znicen web coop.cz :D BRAVO @spazef0rze #webtop100

25.října 2011 16:25:06
ahasver: an anonymous #webtop100 presenter just ruined coop.cz website live on the stage :))) hilarious

25.října 2011 16:25:49
Drobilek: #Webtop100: coop.cz má problém! Přednášející Michal Spacek online smazal část webu #zabezpeceniwebu

25.října 2011 16:36:02
zbiejczuk: via @pachollini: Michal @spazef0rze Špaček hacknul db Coop.cz #webtop100 v@medifactorycz nebudou mít radost ;) http://t.co/hkI0SN6G

Na druhou stranu se však objevily také názory, že tohle už bylo možná trochu moc. Počet nesouhlasných tweetů byl sice menšinový, ale určitě nebylo možné je přehlédnout (což podpořil sám Michal Špaček, když některé z nich posílal dál jako RT).

25.října 2011 16:23:32
vpecinka: Michal Spacek a hackuti coop.cz online - zabava dobra, vi vsak pan porotce, co je to eticky hacking? #webtop100 #fail

25.října 2011 16:44:48
jantichy: @mhumpolec @vpecinka @bonlait @spazef0rze Právě proto k etice patří i to nevystavovat hack hned takhle veřejně a dát jim prostor pro opravu.

25.října 2011 16:50:02
JirkaV: @spazef0rze Zverejneni hesla k databazi cizi firmy v prezentaci? #FAIL Jako sebepropagace dobre, jako pracovni metoda zoufale.

25.října 2011 16:58:23
martin_foltyn: @spazef0rze opravdu působivé, pěkná ukázka, uvědomil jsem si že dělám to samé ( s [] ). Vím, že to potřebovalo řádně zakročit, ale hack?

V reakci na dotazy ohledně etiky postupu následovalo vysvětlení takto „tvrdého“ kroku. Míru ztotožnění se s ním ponechme na čtenáři.

25.října 2011 17:27:14
spazef0rze: Podle zkušeností čas na opravu chyby na webu k ničemu nevede. Buď přijdou nadávky nebo právník, ale ne oprava. Proto takto tvrdě. #webtop100

25.října 2011 18:27:18
spazef0rze: @martin_foltyn Nejenom :) Důležitá je podstata problému, podle mě tak závažného, že jsem musel šokovat. "Hack" byl prostředkem k informování

Mírně technická vsuvka

Co přesně se nám stalo osudným? Jeden kolega před několika lety dostal z nějakého důvodu nápad. Místo již existujícího, používaného a otestovaného skriptu pro zobrazení náhledu obrázků, který byl součástí starého CMS MEDIA FACTORY, si napíšu vlastní! Proč? To už se bohužel asi nedozvíme. A tento skript použil v jedné části webu. Testera tenkrát zřejmě nenapadlo, že si tam někdo dodělal vlastní zobrazování obrázků. Název toho skriptu byl podobný tomu, který měl být použit.

Tento skript byl napsán opravdu primitivně. Prostě přečetl soubor a poslal ho do prohlížeče. Bez ověření, jestli jde o soubor povoleného typu, zda je umístěn pouze v určitém adresáři atp.

Mimochodem, dělat náhledy obrázků tímto způsobem, tedy že na to udělám skript a všechny obrázky přes něj lidově řečeno „proženu“, je velice nešťastné. Jednak to přitahuje pozornost útočníků, dále to pro server znamená zátěž a v neposlední řadě k tomu prostě není důvod – řeší se to jinak. Ale to by bylo na jinačí povídání.

Mezitím v MEDIA FACTORY

Zpráva se k nám donesla poměrně rychle a v kanceláři nastal frmol. Samozřejmě bylo třeba to co nejdříve řešit (ostatně tak svou motivaci vysvětloval sám prezentující).

Jak vysvítá z výše napsaného, odhalená chyba se týkala čistě tohoto staršího projektu a neměla by se tedy vyskytovat na žádných dalších webech. Její náprava byla zřízena do několika desítek minut. Začalo však také prověřování dalších webů, abychom se ujistili o jejich zabezpečení. Jinde nebylo doposud jakékoli ohrožení objeveno.

Píáristé zabývající se krizovou komunikací se někdy rozcházejí v názoru, je-li lepší snažit se reagovat včas a rychle, nebo vše důkladně projít a promyslet a ozvat se až potom. Zvolili jsme druhou cestu, dvakrát jsme měřili a řežeme až nyní. Nikomu naštěstí neruply nervy z toho, co se na konferenci odehrálo a mohlo snad být vnímáno jako příkoří, a nikdo tak nepřiléval oleje do ohně (jako se bohužel občas na sociálních sítích děje, což málokdy zůstane bez povšimnutí).

Ještě večer tweetnul Michal Špaček o tom, že nápravu zaregistroval (patrně si chtěl ověřit, jak neschopní či schopní lidé v MEDIA FACTORY sedí).

25.října 2011 23:01:53
spazef0rze: http://t.co/xdZMTOwT má opraveny všechny nalezené problémy i ty nepublikované. Dobrá práce, @mediafactorycz, příště takhle rovnou od začátku

Naše ponaučení

První věcí, nad kterou jsme se zamýšleli, když nervozita opadla, byla otázka: Může se nám tohle stát i dnes? Věříme, že ne. Web www.coop.cz sice nepochází z nijak závratně vzdálených dob, přesto jsme od doby jeho vývoje, jak věříme, ušli pěkný kus cesty. Optimalizovali jsme proces školení zaměstnanců a sdílení firemních informací. Zaměřili jsme se na vývoj nové platformy, která funguje na jiných základech a principech, takže podobné chyby prakticky neumožňuje udělat.

Nejdůležitější radou, kterou jsme teď dostali, bylo, že se nikdy nesmíme zapomínat ohlížet zpátky. Na to asi jen tak nezapomeneme.

A tímhle to vlastně celé skončilo. Vše jsme opravili, štěbetání pomalu utichlo, žádného rozmáznutí jsme se od nikoho nedočkali. Dalo by se říct, že jsme za vodou. Chyba lávky! Důležité je všimnout si jednotlivých etap celého příběhu, je to skoro jako slavných 5 částí antického dramatu.

• Expozice, to je začátek prezentace.

• Kolize přichází, když se web www.coop.cz ukáže nedostatečně zabezpečeným. Průšvih, všechno špatně!

• Vrcholem je krize, kdy se v sále všichni smějí a Twitter ožívá. V tuhle chvíli si člověk musí dávat pozor na pusu, potažmo na prsty. Neunáhlit se, ale být ve střehu, připraven k reakcím. Zatímco my jsme pracovali na odstranění podstaty problému, naše kanály mlčely. Což se v tomto konkrétním případě ukázalo jako správná volba.

• Peripetie se od starodávného dramatu liší, protože nesměřuje k tragickému konci. Nesouhlasné tweety byly určitou známkou podpory, pochopení, že se to prostě může stát.

• A konečně katastrofa, opět naštěstí nevyznívající tak negativně jako u Aristotela. Naší katastrofou byla náprava a motivace k překontrolování množství dalších webů.

Ukazuje se tedy, že původní impuls Michala Špačka zamýšleného efektu dosáhl. I když se přirozeně nedá říct, že bychom s jeho postupem souhlasili. Poučili jsme se a s tím jdeme dál. Ostatně, jak řekl Terry Pratchett: Svět není dokonalý, ale pořád se ještě otáčí. Chceme se snažit o to samé.

Jakub Křenek