Na bezpečnostní díru aplikace upozornil Jura Ibl, který provozuje pokladní systém Malá pokladna. Jak navíc uvádí i jiní odborníci, aplikace má několik dalších problémových bodů.
Čtěte také: Na Účtenkovku musíte mít čas a trpělivost. Vyzkoušeli jsme udavačskou loterii
Aplikace klade jednu překážku za druhou
Ministerstvo financí spustilo před dvěma dny registraci účtenek do účtenkové loterie. Tu mohou lidé uskutečnit buď přes web Uctenkovka.cz, nebo přes mobilní aplikaci. Jak už včera ale upozornil server Lupa.cz, ta klade případným hráčům do cesty řadu překážek, které registraci znepříjemňují.
Aplikace sice nabízí režim automatického rozpoznávání údajů přes fotoaparát (OCR), ten ale funguje velmi nestabilně a navíc naskenuje pouze FIK nebo BKIP kód (má rozpoznat i DIČ, to se ale redaktorům serveru Lupa.cz nepovedlo ani jednou), ostatní údaje musí hráč vyplnit ručně.
Původně též aplikace vyžadovala práva na zjištění telefonního čísla a údajů souvisejících s telefonními hovory. Během včerejšího odpoledne nicméně byla zveřejněna nová verze aplikace, která už práva k telefonním hovorům nevyžaduje.
Čtěte více na Lupa.cz: Tak nám spustili Účtenkovku. Vyplňování údajů je ale spíš zábavou pro masochisty
Z aplikace se dá zjistit počet účtenek
Možná největší problém aplikace se ale týká její bezpečnosti. Jak totiž upozornil server Podnikatel.cz Jura Ibl, který provozuje pokladní systém Malá pokladna, mobilní aplikace Účtenkovka není zvlášť dobře chráněná. Tím pádem se dá zjistit, jak technicky funguje. Neznamená to ale, že by si útočník mohl vytáhnout z databáze údaje o již zaevidovaných účtenkách. Ale počet účtenek a počet registrovaných lidí se dá zjistit velmi snadno,
doplnil serveru Podnikatel.cz Ibl.
Údaj o počtu lidí a účtenek je totiž součástí každé poslané účtenky. Aktuálně je tak podle Ibla registrováno 320 974 účtenek a 166 718 lidí. Včera odpoledne se jednalo 253 579 účtenek a 150 000 lidí.
Samo ministerstvo sice o přesných číslech nechce hovořit, ale potvrzuje, že počet registrovaných hráčů přesáhl sto tisíc. Nicméně platí, že další statistiky budeme zveřejňovat vždy souhrnně za celý měsíc po slosování. Našim cílem je poskytovat kompletní informace, a to v ustálené struktuře a na pravidelné bázi, stejně jako např. při informování o pokladním plnění státního rozpočtu. Při průběžném informování by mohlo docházet k nejasnostem, například kvůli několikadenní prodlevě mezi registrací a ověřením účtenek vydaných v offline režimu,
uvedl serveru Podnikatel.cz Michal Žurovec, mluvčí ministerstva financí.
Díra v mobilní aplikaci ale neumožňuje pouze zjistit počet registrovaných hráčů a účtenek, ale také vyrobit aplikaci, která by účtenky zadávala. Stačí dodržet stejnou strukturu, jakou používá samotná Účtenkovka. Ve své podstatě to není velký problém a naopak by bylo dobré, aby ministerstvo tuto možnost oficiálně nabídlo jiným vývojářům, protože jejich aplikace za mnoho nestojí,
komentoval Ibl. A právě Malá pokladna, za kterou Ibl stojí a která eviduje tržby přes elektronické účtenky, už vlastní aplikaci proto chystá.
S mobilní aplikací Účtenkovky se navíc pojí ještě jeden problém, na který včera upozornil na Twitteru Michal Bláha, který provozuje server Hlidacstatu.cz a zároveň dělá poradce na ministerstvu financí. Aplikace na stránkách ke stažení jak pro Android, tak pro Windows Phone má věkové hodnocení Pegi 3, tedy má být vhodná pro všechny věkové skupiny. Účtenkovky se přitom mohou zúčastnit jen lidé starší 18 let.
Android appku #uctenkovka dělá amatér. První chce práva na hovory,teď má v Google Play content rating PEGI 3. Za to hrozí zákaz aplikace!
— Hlídač Státu (@HlidacStatu) 2. října 2017