Ulož.to je nejpopulárnějším českým serverem pro sdílení souborů. Sdílení znamená, že někdo tam soubor nahraje a (nejčastěji) jiní lidé si tento soubor stáhnou. Uložit na takovou službu zálohu firemní komunikace nebo třeba zdravotní dokumentaci pacientů se tak jeví jako absurdní. Přesto se tak podle auditu společnosti Sodat SW děje.
Soubory byly nalezeny na serverech Ulož.to pomocí nástroje Pureo, který hledal dle názvů uložených souborů (klíčová slova jako faktura, smlouva, záloha ...) a dle přípon (.doc, . xls, . pdf, .pst ...), nalezené soubory pak byly staženy a pomocí nástroje DataDetectiv analyzovány.
Všechny zkoumané soubory byly na servery Ulož.to nahrány s volbou režimu dostupnosti „pro veřejnost“ a s jednou výjimkou nebyly chráněny heslem - ani pro odemčení zašifrovaného souboru, ani pro autorizaci stažení. Server Ulož.to přitom nabízí možnost data uložit tak, aby byla dostupná pouze těm, kteří od majitele dostanou přímý odkaz, nebo uložit soukromě tak, aby k nim měl přístup jen ten, kdo data nahrál.
„Pro ukládání osobních dokumentů je nutné zvolit zabezpečení „jen pro mě“, bezpečné heslo (24 znaků a více) a dostatečně silné šifrování (128bit AES a silnější),“ odpověděl na dotaz redakce Tadeáš Novák, mediální zástupce serveru Ulož.to. Při splnění všech uvedených podmínek splňuje podle Nováka uložení dat i podmínky stanovené GDPR.
Mezi staženými a veřejnosti dostupnými daty tak byly (a v některých případech ještě jsou) například celé zálohy firemní e-mailové komunikace, zdravotní dokumentace včetně fotografií pacientů, přístupová hesla do chráněných systémů, výplatní pásky zaměstnanců, daňová přiznání, nebo třeba faktury.
Podrobnější výsledky analýzy.
„Naši analýzu považujeme za obecně prospěšnou a snažíme se tím poukázat na hrozby úniku dat, které mohou společnosti postihnout a jejichž data se na podobných veřejných serverech nacházejí,“ doplňuje Jan Vobruba, ředitel společnosti Sodat SW. „Společnosti, jejichž data jsme na veřejném úložišti našli, jsme kontaktovali, aby soubory smazaly,“ dodává Vobruba.
