Ani ten nejvlivnější účet na HeroHero nebyl v bezpečí. Před rokem se populární česká platforma musela vypořádat s kritickou chybou, kterou objevil etický hacker Marek Tóth. Skrze díru v systému mohl ovládnout jakýkoliv profil a dělat si s ním, co se mu zamane – od přidávání příspěvků po změnu ceny předplatného. Ukázal tak, jak v dnešní době převzít digitální identitu i vlivného influencera. Když se po roce na HeroHero hacker vrátil, objevil další čtyři zranitelnosti. Ta z července umožňovala vidět, kolik si tvůrce přes předplatné měsíčně vydělává. Mohl tak nahlédnout na příjmy třeba Mikýře z HeroHero v době, kdy měl tvůrce nejvíce odběratelů.
Tóthovi se už v minulosti podařilo vlomit do velkých českých firem a najít v jejich systémech vážné chyby. Dokázal se například opakovaně dostat do cizího e-mailu na Seznamu. V jeho „portfoliu“ jsou ale i společnosti jako Tipsport, Fortuna, Košík, Rohlík či Alza.
„Je to pro mě způsob, jak dělám osvětu o tom, že chyba nemusí být vždy na straně uživatele, ale děravé mohou být i systémy a služby firem,“ vysvětlil svou motivaci. Vadí mu prý, že se média často zaměřují jen na informování o „hlouposti lidí“, kteří naletěli na nějaký trik podvodníků. Proto také nejzajímavější případy natáčí a dělá k nim rozsáhlé video na YouTube.
Tento etický hacker se zaměřuje hlavně na chyby, které by mohly mít velký dopad. V případě Seznamu a hacknutého e-mailu stačí vzpomenout na kauzu kolem neonacistické stránky White Media, která zveřejňovala v roce 2016 uniklé e-maily mimo jiné i bývalého českého premiéra Bohuslava Sobotky (ČSSD) a dalších osobností z veřejné sféry. Tehdy si nikdo nebyl jistý, zda kvůli tomu v budoucnu nemůže být nejvyšší představitel země vydíratelný a jednalo se o velkou bezpečnostní hrozbu, kterou intenzivně řešila i kontrarozvědka. Vypátrat pachatele se povedlo až po osmi letech.
K podobně citlivým příběhům mohlo dojít i na HeroHero, které je v české společenské debatě stále relevantnější a poskytuje zázemí pro vlivné tvůrce z oblasti médií a showbyznysu. Příkladem může být moderátor Čestmír Strakatý či influencer Martin Mikyska (Mikýř). Oba dva počítají sledovanost na desítky tisíc uživatelů. Zvučných jmen je na HeroHero hromada. Některé osobnosti se zabývají také investicemi či výhodnými nákupy, jimiž ovlivňují chování řady zákazníků.
Chyba, kterou Tóth loni v dubnu objevil, umožnila ovládnout jakýkoliv účet na HeroHero. Útočník pak mohl s takovým účtem dělat téměř cokoliv. V bezpečí nebyly ani soukromé zprávy mezi tvůrci a uživateli. Tóth mohl jménem influencerů zveřejňovat příspěvky a také měnit cenu předplatného.
Kdyby takto někdo zaútočil na známou osobnost jako například Petr Mára, který se často zabývá kryptoměnami, mohl by jeho jménem vyzvat odběrate k nějakému rychlému a nevýhodnému nákupu. Scénářů, jak se dá zneužít ukradená identita na některé platformě, je celá plejáda.
Kromě toho Tóthův text dokázal, že útočník mohl také využívat platební kartu kompromitovaného účtu a platit s ní na HeroHero za obsah dalších tvůrců. HeroHero je v tomhle specifická platforma, hraje roli uzavřeného tržiště s obsahem. Kdokoliv si tam vytvoří účet, může jej snadno spárovat s platební bránou, tvořit obsah za paywallem a dostávat z toho peníze.
Díky tomu se v rámci ekosystému dají z takto ovládané karty utratit velké peníze, alespoň teoreticky, neboť limit pro předplatné má HeroHero nastavený na 400 euro za měsíc (zhruba 10 tisíc korun). Je však otázka, zda by taková platba prošla bez povšimnutí a zda by sama platební brána nezareagovala. Platbu by mohla zastavit například jako rizikovou.
Majitel HeroHero Vojtěch Otevřel přiznává, že chyba byla v systému přítomná zhruba čtvrt roku. „Byla způsobena přepisem autentizačního modulu na podzim 2022. Marek Tóth se nám ozval v dubnu 2023,“ řekl.
Otevřelovi vadí, že Tóth ve svém reportu spekuluje, jaké škody mohly HeroHero kritickou zranitelností vzniknout. Poškození dobrého jména tvůrců vyčíslil až na 10 milionů korun. U plateb zase počítal globálně celou komunitu. „Jestliže by útočník u každého uživatele provedl platbu ve výši 10 euro, získá tím 585 000 euro (po odečtení 10 % HeroHero poplatku), tedy necelých 15 000 000 Kč,“ uvedl Tóth na svém blogu jeden z nejčernějších scénářů. Nikdo však netestoval, zda by šlo systém zneužít v tak masovém měřítku.
Zranitelnost nicméně zneužít šlo a HeroHero ji bleskově opravilo, ovšem až po Tóthově nahlášení. „To neznamená, že se nemáme ptát, proč se tomu nepodařilo předejít. Další důležitou otázkou je, jaké kroky udělali poté, aby se to už nestalo,“ vysvětlil Tóth.
Oprava trvala týmu jen pár hodin, důležitým faktorem ale byl i fakt, že etický hacker navedl vývojáře přesně na danou zranitelnost. Kdyby se odehrával reálný útok, mohlo by to podle Tótha trvat déle. Napřed by někdo musel vůbec zjistit, že k útokům dochází. „Vždy je otázka, jak dlouho by jim to trvalo. Já vždy upozorňuji, kde přesně chyba je. Kdyby to nevěděli, tak jen pátrání po původu problému může zabrat hodně času,“ říká Tóth.
Tím ale problémy platformy neskončily. Když teď v červenci psal Tóth svůj článek s postupem, jak dokázal chybu najít, objevil na HeroHero další čtyři zranitelnosti. „Jedna umožňovala možný leak osobních informací u všech tvůrců (jméno, příjmení, adresa, telefon, datum narození), ostatní chyby vedly k získání dat o přesných příjmech. Tyto nové chyby byly také nahlášeny a opět došlo k rychlé opravě. V tomto případě bylo vše vyřešeno následující pracovní den,“ upozornil Tóth.
Přesné příjmy jsou jednou z věcí, kolem které se čile spekuluje. Nejvlivnější tvůrci mohou získávat jen díky předplatnému miliony měsíčně. Chyba se tedy týkala velmi citlivého údaje, který si řada influencerů pečlivě střeží. Vznikají kvůli tomu i fanouškovské stránky, které se možné výdělky na HeroHero snaží odhadnout výpočtem, jako je třeba web https://heroherodata.com.
COOLna 
Napsat komentář