Hackeri v Česku nabúrali vízový systém. Zarobili 30 miliónov eur

Čes­ké minis­ter­stvo zahra­nič­ných vecí päť rokov netu­ši­lo, že vo svo­jom sys­té­me ma nasťa­ho­va­ných dvoch rus­kých hac­ke­rov. Dva­ja rus­kí obča­nia dlho­do­bo žijú­ci v Pra­he totiž pre­lo­mi­li elek­tro­nic­ký vízo­vý sys­tém a zara­bá­li na tom. Sys­tém Visa­po­int doká­za­li ovlá­dať päť rokov. Pod­ľa Sez­nam správ zaro­bi­li viac 750 mili­ó­nov korún (29,4 mili­ó­na eur). Pod­ľa počí­ta­čo­vé­ho exper­ta v tom­to prí­pa­de jed­no­znač­ne zly­ha­li zod­po­ved­ní ľudia za bez­peč­nosť.

Sko­ro nedo­sia­hnu­teľ­né čes­ké víza pre obča­nov Viet­na­mu spro­stred­ko­va­li súro­den­ci Andrej a Ale­xan­der Voro­ni­nov­ci po 15 tisíc eur. Mlad­šie­ho z bra­tov, Ale­xan­dra, evi­du­je Uni­ver­zi­ta Kar­lo­va ako absol­ven­ta mate­ma­tic­ko-fyzi­kál­nej fakul­ty. V roku 2009 úspeš­ne obhá­jil rigo­róz­nu prá­cu, v kto­rej sa veno­val bez­peč­nos­ti v oblas­ti ban­ko­vých apli­ká­cií.

Vyšet­ro­va­te­lia tvr­dia, že bra­tia pou­ží­va­li soft­vér, kto­rým pre­ko­na­li zná­my ove­ro­va­cí kód – CAPTCHA. Tak­to doká­za­li do sys­té­mu pre­nik­núť a zare­gis­tro­vať len tých Viet­nam­cov, kto­rí vopred zapla­ti­li. Kli­en­tov im dodá­va­li Viet­nam­ci žijú­ci v Čes­ku.

Minis­ter­stvo zahra­nič­ných vecí Čes­kej repub­li­ky v roku 2017 zru­ši­lo elek­tro­nic­ký sys­tém víz. Vznik­lo totiž podoz­re­nie, že Visa­po­int nie­kto napa­dol a urču­je, kto dosta­ne povo­le­nie k poby­tu. Minis­ter­stvo pre­to zria­di­lo špe­ciál­nu tele­fo­nic­kú lin­ku, na kto­rej sa bolo mož­né zare­gis­tro­vať. Bra­tia však na to ihneď zare­a­go­va­li. Pomo­cou mode­mov a stov­ky tele­fón­nych SIM kariet si vytvo­ri­li vlast­nú ústred­ňu, kto­rá auto­ma­tic­ky vytá­ča­la hanoj­skú amba­sá­du. Pre všet­kých ostat­ných záu­jem­cov o víza bola lin­ka obsa­de­ná. Prí­stup mali zno­va len tí žia­da­te­lia, kto­rí vopred zapla­ti­li.

Pod­ľa vyšet­ro­va­te­ľov doká­za­li Voro­ni­nov­ci dostať do Čes­kej repub­li­ky až 2038 obča­nov Viet­na­mu. Obrov­ské trž­by si bra­tia roz­de­li­li spo­loč­ne s viet­nam­ský­mi spoj­ka­mi v Čes­kej repub­li­ke.

Všet­ci akté­ri sú obvi­ne­ní z neo­práv­ne­né­ho prí­stu­pu k počí­ta­čo­vé­mu sys­té­mu a pra­nia špi­na­vých peňa­zí. Pokiaľ sa prí­pad dosta­ne na súd, akté­rom hro­zí až osem rokov za mre­ža­mi.

Expert: Pod­ce­ni­li rizi­ko

Na otáz­ku, ako je mož­né, že si čes­ké minis­ter­stvo zahra­nič­ných vecí tak dlho nič nevšim­lo, IT expert Peter Dostál a pred­se­da pred­sta­ven­stva spo­loč­nos­ti Ali­ter Tech­no­lo­gies kon­šta­tu­je, že na to môže byť via­ce­ro dôvo­dov.

„Sú dva základ­né typy hac­ke­rov. Takz­va­ní únos­co­via sa dosta­nú do sys­té­mu, zablo­ku­jú ho a žia­da­jú potom výkup­né za vrá­te­nie dát. O takých sa obeť dozvie veľ­mi rých­lo. V tom­to prí­pa­de však zvo­li­li úpl­ne opač­ný prí­stup. Veľ­mi ticho sede­li a zís­ka­va­li výho­du, že ich nik nevi­dí,“ tvr­dí z Dostál z Ali­ter Tech­no­lo­gies, kto­rá sa špe­cia­li­zu­je aj na kyber­ne­tic­kú bez­peč­nosť.

Pod­ľa Dostá­la v tom­to prí­pa­de zly­ha­li ľudia, kto­rí mali na sta­ros­ti bez­peč­nosť vízo­vé­ho sys­té­mu. „Je mi čud­né že si nikto tak dlho nevši­mol ano­má­lie pri náv­štev­nos­ti sys­té­mu,“ tvr­dí Dostál s tým, že kaž­dý úrad, či fir­ma pra­cu­jú­ca s dáta­mi by si mala spra­viť poc­ti­vú bez­peč­nost­nú ana­lý­zu.

„Mali by si pove­dať si, čo je cen­né a čo všet­ko by sa moh­lo stať a z akých oblas­tí by mohol prí­sť útok a čo to spô­so­bí – od spad­nu­té­ho ser­ve­ra až po takz­va­ný únos dát,“ dopĺňa pred­se­da pred­sta­ven­stva fir­my Ali­ter s tým, že v tom­to prí­pa­de zrej­me zod­po­ved­ní pra­cov­ní­ci neuro­bi­li ani len to základ­né, čo mali a pod­ce­ni­li rizi­ko.

„Už je to noto­ric­ky zná­me, že je nut­né mať aktu­ali­zo­va­ný ope­rač­ný sys­tém, anti­ví­ru­so­vý prog­ram, ale aj pra­vi­del­ne meniť hes­lá, či spô­sob zabez­pe­če­nia,“ dodá­va Dostál.

Rus­kí heke­ri ťaži­li z toho, že sa do vízo­vé­ho sys­té­mu dosta­li cez ove­ro­va­nie botov, tzv. CAPTCHA. No infor­ma­ti­ci minis­ter­stva ten­to spô­sob ochra­ny dlho nevy­me­ni­li.

„Tu nará­ža­me na prob­lém so vzde­lá­va­ním. Vo verej­nej sprá­ve sa ľudia ohľa­dom kyber­ne­tic­kej bez­peč­nos­ti vzde­lá­va­jú úpl­ne mini­mál­ne, ak vôbec. Kaž­dý rok by však mali prejsť aspoň krát­kym ško­le­ním aké sú nove hroz­by,“ uzat­vá­ra odbor­ník na kyber­ne­tic­kú bez­peč­nosť Dostál.