Startupy –  – 3 min čtení

Místo platby za jídlo na uživatele vyskočilo i porno. V Qerku tak museli kontrolovat tisíce QR kódů

Startup Qerko mohl kvůli problému přijít o to nejdůležitější – důvěru zákazníků. Jeho technický ředitel píše memento ke kybernetické bezpečnosti.

Miloslav MrvíkMiloslav Mrvík

qerko-full-39-minKomentář

Foto: Qerko

Qerko umožňuje v restauracích platit pomocí QR kódů

0Zobrazit komentáře

Zákazníky v restauracích učí odcházet, aniž by museli čekat na obsluhu a z kapsy vyndat peněženku. Pomocí Qerka je možné po načtení QR kódu zaplatit přes mobil, což nabízí tisícovka podniků a startup registruje 250 tisíc uživatelů. Před několika týdny se ale setkal s atypickým problémem, kdy kvůli chybě v zabezpečení mohl kdokoliv se základními programátorskými schopnostmi změnit, na jakou adresu QR kódy uživatele odkazují.

Na chybu Qerko upozornil programátor, který zabezpečení kódů zkoušel ze zvědavosti. „V našich hlavách se okamžitě rozsvítil výstražný maják,“ popisuje zkušenost v komentáři pro CzechCrunch technologický ředitel startupu Miloslav Mrvík.

Šlo totiž o samotnou reputaci firmy, která staví na tom, že platby zákazníků dokáže zpracovávat správně. Společně s kolegy tak během víkendu musel zkontrolovat asi čtyři a půl tisíce QR kódů. I když k žádným vážným problémům nedošlo, příběh nabízí poučení i pro ostatní, nejenom technologické ředitele.

***

Kybernetická bezpečnost představuje pro každou technologii alfu a omegu, jejichž podcenění může zanechat vážné následky a firmu značně poškodit. Nejinak je tomu u nás. V Qerku přikládáme dostatečnému zabezpečení nejvyšší váhu, neboť důvěra našich zákazníků je pro nás klíčová. V nedávné době jsme se však setkali s atypickým problémem, který dobře vystihuje rčení „pod svícnem je největší tma“.

Zjistili jsme totiž, že část NFC čipů, které jsou součástí QR kódů v podnicích, jež naše služby využívají, není zabezpečena proti přepisu. Počítali jsme s tím, že je zabezpečuje náš dodavatel a tuto skutečnost sami neověřili. To v praxi znamená, že kterýkoli host disponující základními programátorskými schopnostmi mohl QR kód změnit a naprogramovat do něj libovolnou akci nebo adresu.

Asi přemýšlíte, co všechno se mohlo stát, a vězte, že jsem v tu chvíli myslel na to samé. V nejhorším případě bylo možné, aby podvodník naprogramoval aplikaci, která by věrně imitovala naši, a získal tak zaplacenou útratu. Skutečným problémem by ale nebyla ukradená tržba za pár obědů, ale absolutní ztráta důvěry zákazníků v bezpečnost naší aplikace. Především těch, kteří se s našimi službami teprve seznamují. Protože je důvěra v našem oboru stěžejní, museli jsme konat rychle.

qerko_platba_1

Foto: Qerko

Aplikace Qerko zjednodušuje návštěvy restaurací

Na skutečnost nás upozornil Michal Valášek, programátor, konzultant a blogger zabývající se kybernetickou bezpečností. Ten problém odhalil v jedné brněnské restauraci, kde ze zvědavosti otestoval malý vzorek tagů. Zjistil, že je lze skutečně libovolně přepisovat, a na chybu nás následně obratem upozornil. My začali bezprostředně po upozornění pátrat po zdroji problémů.

Pět lidí z našeho týmu proto sedlo do aut a vyrazilo osobně čipy zkontrolovat. Za 51 hodin jsme navštívili 38 podniků, které Qerko využívají a ručně prověřili přibližně 4 500 QR kódů. Naši lidé potvrdili přísloví, které říká, že „v nouzi poznáš přítele“, neboť se do řešení problému vrhli v plném nasazení bez ohledu na svátky a víkendy.

Já sám jsem za volantem strávil 16 hodin a 48 minut a najel 716 kilometrů. Když se zpětně za akcí ohlížím, s nadsázkou musím říct, že by se za takový road trip nemusel stydět ani Jack Kerouac, autor známé knihy Na cestě.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

Ukázalo se, že asi třetina z prověřovaných kódů není zabezpečena. Ačkoli taková chyba mohla znamenat řadu černých scénářů, v případě našich čipů naštěstí k ničemu vážnému nedošlo. Vzhledem k tomu, že jsme chybu podchytili okamžitě, jsme se nad případy „zneužití“ spíše pobavili.

Ze 1 300 kódů, které jsme prověřili a odstranili, bylo manipulováno pouze se třemi z nich. V jednom případě nás vtipálek odkázal na internetovou hlášku, v druhém na pornostránky, ve třetím na prázdnou adresu. Do určité míry je ale pozitivní zpráva to, že k problému došlo nyní a ne například za rok, protože s ohledem na náš rychlý růst bychom pak museli kontrolovat výrazně více kódů.

Při zpětném pátrání jsme zjistili, že za vinou stojí vadná várka QR kódů od našeho dodavatele. Ty jsme doposud odebírali s předpokladem, že jsou zabezpečené. Po této zkušenosti na kvalitu kódů nespoléháme a preventivně každou sérii prověřujeme.

Kontrola je poměrně jednoduchá, stačí telefon s NFC a aplikací, načíst kód a zkontrolovat, že aplikace hlásí, že je zabezpečen. Závěrem bych jako poučení i pro ostatní podotkl, že co si sami nezkontrolujeme, na to se nedá spolehnout. A spolehlivost je zejména v otázce bezpečnosti kritická.

Každé dva týdny ukazujeme, co zajímavého se děje nejen v českých startupech.

Nepřehlédněte:

Související témata:Qerko
Přejít do diskuze

Nejčtenější články

TýdenMěsíc

  1. 1

    adam-rotation-adr

    Uznávaný český hodinář překonal sám sebe. Novinka za 6,5 milionu bude mít náctiletého majitele

  2. 2

    e-shopy

    Tržby mají ve stovkách milionů, ale možná je neznáte. I přesto patří mezi největší české e-shopy

  3. 3

    vodopad1

    Byt v paneláku jinak, lépe, zábavněji. Místo umakartu sklo, zdi nahradily závěsy a lino terazzo

  1. 1

    alice-nosakova-mvp

    Rozchod z ní udělal podnikatelku. Její milionová značka provokuje české řidiče a baví cyklisty

  2. 2

    psh-mvp-y

    Vyrábí nejvulgárnější hrnky na českém trhu. Stojí pár stovek a manželé je prodávají po tisících

  3. 3

    good-game-35-witcher-zaklinac

    Máme v něm stovky hodin, kupovali jsme kvůli němu nový počítač. Nezapomenutelný Zaklínač 3 slaví deset let

Startupy –  – 1 min čtení

Digitalizují stavebnictví nejen pro Prahu. Český startup nasedá na nový trend v oboru a nabírá miliony

Ve stavebnictví začne platit nový standard. Digital Transformation Systems se na něj zaměřuje a firmě věří i investoři.

Peter BrejčákPeter Brejčák

3_milan-moravec-ceo_zdroj-jan-nechvile-min

Foto: DTS

Milan Moravec, šéf Digital Transformation Systems

0Zobrazit komentáře

Milan Moravec není ve stavebnictví nováčkem. Už dříve vedl mezinárodní konzultační firmu ve vodním hospodářství se dvěma stovkami zaměstnanců a stovkami milionů korun obratu. Na této pozici byl odpovědný za implementaci inovací a postup digitalizace oboru v Evropě sledoval z první řady. Nakonec se rozhodl přesunout do startupu. V Digital Transformation Systems (DTS) nyní se svým týmem digitalizuje celý stavební průmysl a potenciál v něm vidí i investoři.

DTS nasedl na vlnu ve stavebnictví, která se označuje zkratkou BIM (Building Information Model). Do budoucna bude tento model digitalizující stavby zásadní, poukazuje totiž na možné potíže při jejich vzniku, ale i během celého životního cyklu.

Od příštího roku bude na základě BIM stavět také stát, což má přinést zejména úsporu peněz, vysvětlil pro CzechCrunch Jaroslav Nechyba z České agentury pro standardizaci. A například Nejvyšší kontrolní úřad chce být vzorem, proto své sídlo staví v digitálním systému již nyní.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

Firma DTS na tento trend reaguje a dalším společnostem pomáhá k automatizaci, větší ekonomické a technické efektivitě i k vyšší bezpečnosti datových systémů. Software DTS poskytuje návrh, řešení a integraci softwarových platforem, se kterými již projektanti či stavebníci pracují, a to od přípravné přes projekční fázi až po provoz a údržbu.

„Chceme vybudovat největšího technologického hráče, jehož software napomáhá digitalizaci stavebnictví. Rádi bychom se stali první volbou pro povinné zavádění BIM procesů při digitalizaci stavebnictví, a to v celé Evropské unii a v různých typech projektů. Aktuálně připravujeme expanzi do zahraničí, protože již nyní jsou našimi zákazníky největší stavební společnosti v České republice. Náš produkt se snadno škáluje, navíc není závislý na lokální ani jiné legislativě,“ věří Moravec.

2_milan-moravec-jakub-tuma-lukas-rysanek_zroj-jan-nechvile-min

Foto: DTS

Milan Moravec, Jakub Tůma a Lukáš Ryšánek z Digital Transformation Systems

Tržby firmy loni dosáhly zhruba 12 milionů korun a podle svého vyjádření je od začátku fungování v roce 2019 zisková. Výčet klientů čítá patnáct jmen včetně hlavního města Prahy, společností z oblasti vodárenství či infrastruktury. Moravec ale věří, že potenciál trhu je mnohem výraznější, jen v Česku jde podle jeho odhadu o pět tisíc firem.

DTS navíc věří i investoři. Tuzemské fondy Depo Ventures, StartGuide a Czech Founders VC spojily své síly a firmu v dalším rozvoji podpořily celkovou částkou 14 milionů korun. Pro firmu jde o první externí investici, prostředky jí mají pomoct s růstem a expanzí.

„Stavebnictví a stavební inženýrství prochází digitalizací, kterou pohání požadavky veřejných institucí. Standard BIM bude povinný po celé Evropské unii, například v Česku od roku 2023 (u veřejných staveb nad 150 milionů korun – pozn. red.). Dodržování BIM procesu přinese obrovské množství dat k další analýze. Projektanti však nejsou datovými analytiky, a proto budou potřebovat nástroje, díky nimž budou umět efektivně pracovat s daty, která nejsou v grafické podobě. A to je pro DTS velká příležitost,“ dodává Petr Šíma, partner Depo Ventures.

Každý měsíc vám představíme zásadní investice nejen v českých startupech.

gray-zone-warfare-madfinger

Přečtěte si takéČeská střílečka Gray Zone Warfare vydělala přes 400 milionůČeská střílečka vydělala rekordních 400 milionů. Vývojářům z Brna se vyplatila riskantní otočka

Newsletter Startup | Poslední vydání

Nepřehlédněte:

Související témata:Czech Founders VCDTSDepo VenturesStartguide
Přejít do diskuze

Nejčtenější články

TýdenMěsíc

  1. 1

    adam-rotation-adr

    Uznávaný český hodinář překonal sám sebe. Novinka za 6,5 milionu bude mít náctiletého majitele

  2. 2

    e-shopy

    Tržby mají ve stovkách milionů, ale možná je neznáte. I přesto patří mezi největší české e-shopy

  3. 3

    vodopad1

    Byt v paneláku jinak, lépe, zábavněji. Místo umakartu sklo, zdi nahradily závěsy a lino terazzo

  1. 1

    alice-nosakova-mvp

    Rozchod z ní udělal podnikatelku. Její milionová značka provokuje české řidiče a baví cyklisty

  2. 2

    psh-mvp-y

    Vyrábí nejvulgárnější hrnky na českém trhu. Stojí pár stovek a manželé je prodávají po tisících

  3. 3

    good-game-35-witcher-zaklinac

    Máme v něm stovky hodin, kupovali jsme kvůli němu nový počítač. Nezapomenutelný Zaklínač 3 slaví deset let