Poslanec Farský k úniku svého hesla: Možná ještě někde zůstalo, čekal bych varování od úřadů
Jeho přihlašovací heslo se objevilo na internetu, na únik přitom poslance Jana Farského (STAN) až dosud nikdo neupozornil. „Čekal bych, že tohle bude práce bezpečnostních složek. Byla to věc jednoho telefonátu,“ říká zákonodárce v rozhovoru pro Radiožurnál. Zároveň ale dodal, že s úniky informací se musí v současnosti počítat. Sám tomu proto třeba na sociálních sítích přizpůsobuje komunikaci, aby ho případně nemohla ohrozit.
Máte LinkedIn?
Mám.
Je možné, že jste pro registraci použil poslanecký e-mail?
Asi ano. Popravdě nevím, protože ho mám hrozně dlouho. Moc ho nepoužívám. Jednou týdně si ho zapnu, abych se podíval, jestli se ke mně někdo hlásí. Spíš ho ale jen udržuji, sítí je tolik, že bych nedělal nic jiného.
Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun
Číst článek
Nevylučujete tedy, že jste se registroval přes služební adresu?
Nevím, je to možné.
Já se na to ptám proto, že z LinkedInu před časem unikly přihlašovací údaje uživatelů. Podle monitorovacího webu haveibeenpwned.com utekl i váš e-mail. Na internetu se zároveň u vaší adresy objevilo i heslo. Víte o tom?
Nevím. Nikdo mě o tom neinformoval. Určitě jsem si ale heslo od té doby měnil.
Nekontaktoval vás ani úřad pro kybernetickou bezpečnost?
Ne. Žádné informace jsem nedostal, takže jsem to ani nijak neřešil.
Můžete potvrdit i přihlašovací heslo, které uniklo?
Ano, to bylo historicky moje heslo.
Takže ho už nepoužíváte?
Těch hesel mám za ty roky desítky, takže možná ještě někde zůstalo.
Kolik hesel zhruba používáte?
Fakt desítky. V různých kombinacích. Není to tak, že by mi to bylo jedno. Někdy mi heslo vygeneruje počítač, který ho za mě vyplní. Někdy si ho pak i nechám. Nikdy jsem s tím neměl potíž, tak jsem to neřešil. Nedostal jsem ani varování od našich bezpečnostních služeb.
Únik bez varování
Nepovažujete to za bezpečnostní riziko, že se hackeři dostali k vašim přihlašovacím údajům? Říkáte, že používáte kombinace hesel. Hackeři tak mohli mít snazší práci, aby se nabourali do vašich účtů na internetu.
To ano. Ale jak jsem řekl: varování jsem nedostal, což mě trochu překvapuje.
Co tedy říkáte na to, že vás na únik žádný z bezpečnostních úřadů neupozornil?
Radost z toho nemám. Úplně na rovinu: čekal bych, že tohle bude náplň jejich práce. Na druhou stranu od té doby jsem hesla měnil tolikrát, že z toho zásadní obavu nemám. Zároveň se mi stalo, když jsem byl ještě starosta (Farský byl v letech 2006 až 2014 starosta Semil – pozn. red.), že někdo předstíral, že z mého e-mailu starosty posílá zprávy. Předal jsem to tehdy policii. Heslo se sice nenarušilo, existují ale aplikace, které umožní, aby se ta zpráva tvářila jako e-mail od vás. Myslím, že se to stalo nedávno i ve sněmovně Tomiu Okamurovi…
Ano, odesílatel nabízel před Vánocemi slevu na sushi. To ale není váš případ.
… nemám ani přístup k žádným důvěrným nebo tajným informacím. Možná proto mě naše tajné služby neinformovaly. To je jediné, co mě napadá. Zase nechci zpochybňovat práci bezpečnostních služeb. Ale na rovinu: čekal bych, že dají vědět, protože to je jednoduchý úkon. Nejsou nás tisíce. Prostě dát vědět, že jsem byl tehdy součástí toho úniku z LinkedInu. To byla přece věc jednoho telefonátu, jednoho setkání nebo jednoduché informace.
Uniklé e-maily a heslo
- Redakce nahlédla do obří databáze, která obsahuje miliony uniklých adres. Mezi nimi našla hned deset prominentních funkcionářů včetně poslance STAN Jana Farského nebo předsedy Nejvyššího soudu Pavla Šamála. Seznam také obsahuje přes čtyři tisíce e-mailů, které nesou adresu některého z ministerstev či dalších státních institucí.
- U necelé tisícovky těchto e-mailů jsou pak uvedena i pravděpodobně znějící hesla. Ta ovšem nemusí nutně odemknout právě zmíněnou e-mailovou schránku. Může jít o heslo, které někdo společně s daným e-mailem použil třeba pro registraci na sociální síti nebo v e-shopu.
- Hesla unikala ze služeb jako Dropbox nebo Adobe, část přihlašovacích údajů se ale na veřejnost dostala poté, co jednoho hackera naboural jiný a zveřejnil jeho databázi. K únikům tedy pravděpodobně nedocházelo ze státních systémů.
- Redakce se celou věcí začala zabývat po aféře v Německu, kde se na internetu objevily osobní údaje a dokumenty stovek německých politiků a známých osobností včetně adres, čísel kreditních karet či soukromé korespondence.
Budete to chtít dále řešit? Třeba prostřednictvím bezpečnostního výboru ve sněmovně?
Ne. Prostě se podívám, jestli někde to heslo nebo nějaká jeho varianta není, a hesla upravím. To bude moje reakce. Necítím se nijak ohrožen. Tím, že nepracuji s nijak důvěrnými materiály, tak to ani nevidím jako bezpečnostní hrozbu pro Českou republiku.
Plyne z toho pro vás pro příště třeba nějaké poučení?
Měnit si hesla. Na druhou stranu asi nikdo nepředpokládal, že uniknou informace z LinkedInu. Stejně jako nikdo moc nepředpokládá, že uniknou odněkud odjinud. Žijeme v době, která k tomuto prostě je náchylná. Informace jsou hodnotné, cenné a vždy se k nim budou snažit probojovat. Nemyslím si, že je záruka, že se to příště nestane. Hesla už mám ale dnes násobně složitější než tohle (heslo poslance Farského bylo složené z několika písmen a čísel - pozn. red.).
Používám internetové bankovnictví, facebook, instagram, twitter... Je toho tolik a vím, že ten prostor prostě není bezpečný. Člověk musí počítat s tím, že se úniky dějí a budou možná častější. Musí přizpůsobit komunikaci tak, aby ho úniky neohrozily. Já si to třeba takhle hlídám.
Používáte sněmovní e-mail i pro další online služby?
Nevybavuju si. Když jsem na tu otázku odpovídal poprvé, přemýšlel jsem, jestli jsem sněmovní adresu někdy historicky použil. Ale měl jsem vždycky v hlavě nastaveno, že služební, profesionální věci patří do služebního e-mailu a osobní patří do soukromého.
Dovedu si ale modelově představit, že jsem zadal svůj soukromý e-mail, pak jsem zapomněl heslo, a když jsem se chtěl zaregistrovat znovu, tak to ohlásilo, že tam ten e-mail už je a že už tam na něj nové heslo nedostanu. Tak jsem si musel zřídit nový účet, a protože nemám deset mailů, ale reálně používám dva, tak jsem teoreticky v takové situaci – a to mě napadá i u toho LinkedInu – mohl zadat pracovní e-mail.
Přestanete teď používat sněmovní mail k soukromým účelům?
Snažím se ho nepoužívat. Určitě o tom budu víc přemýšlet, budu opatrnější. Každá taková zkušenost samozřejmě člověka trochu usměrní. Zároveň tam nevidím historická bezpečnostní rizika, která by na mě úplně blikala červenou barvou, že je potřeba panikařit.