Internet

Mogły wyciec hasła Allegro

opublikowano przez Jakub Kralka w dniu 2010-11-25

Nawet tak zaufana marka jak Allegro wciąż miewa problemy z bezpieczeństwem. Aż trudno uwierzyć!

  Warto przeczytać:
 

Firefox w tarapatach? Już wkrótce Google przestanie finansować!

Choć specjaliści od sieciowego bezpieczeństwa dwoją się i troją, by zapewnić nam jak największy komfort korzystania z internetowych usług, wciąż należy podchodzić do nich z ograniczonym zaufaniem. Najlepszym przykładem jest incydent z Allegro, który na swoich łamach opisał niebezpiecznik.pl.

Jeden z czytelników serwisu poinformował, że przez około godzinę nie byly zabezpieczone nasze dane, m.in. hasło i mógł je podejrzeć każdy, kto w przeciągu ostatnich 90 dni dokonywał z nami jakiejkolwiek transakcji. Głos w tej sprawie - nieco uspokajający - zabrało samo Allegro.

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w  kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z  kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z  kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W  wyniku tego uzyskał dostęp umożliwiający korzystanie z  dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych.

Ważną informacją jest fakt, że dostęp do WebAPI allegro nie jest publiczny. Aby móc korzystać z tej usługi potrzebny jest klucz dostępu wystawiany przez serwis allegro. Oznacza to, iż doskonale wiemy kim są odbiorcy usługi. Każde logowanie do webAPI jest rejestrowane.

Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błedu. Niemniej ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników. Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.

Teraz wszystko jest już na szczęście w porządku. Zainteresowanych wpadką i szczegółami błędu odsyłamy na łamy niebezpiecznika.

Źródło: Niebezpiecznik

Polecamy artykuły:    
Fotogaleria: obudowa jakiej jeszcze nie było
TOP-10: Monitory
G eForce GTX 580 - najszybsza w rodzinie

 

marketplace

Komentarze

18
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    I zaufaj tu czemukolwiek w necie
  • avatar
    ojojoj
  • avatar
    Zajęliby się lepiej ulepszaniem zabezpieczeń a nie modyfikacją szaty graficznej.
    Zaloguj się
  • avatar
    Burza w szklance wody.
  • avatar
    Tylko nie mówcie mi, że allegro trzyma hasła jako plain text
    Zaloguj się
  • avatar
    "...powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć..."

    naprawdę to powiedział specjalista z Allegro?
    LOL ;)
  • avatar
    a moje konto wisi
    to sie zalogowalem ehh na allegro po aktualizacji z 23.11.10 nie mozliwe
  • avatar
    Od dawna bezpieczeństwo na Allegro mnie wkurza, ostatnio plagą jest okradanie ludzi z ich kont i dokonywanie masowego kupna na różnych aukcjach. Ja jako sprzedający miałem taka sytuację już parę razy i za każdym razem przez takie coś jestem z kasą w plecy mimo że Allegro cofnęło prowizje od sprzedaży, która mała nie była bo kilka tysięcy zł ( chociażby powtórny koszt wystawienia aukcji, bo nie każdy wystawia za 10gr...). A Allegro nic nie robi w tej sprawie, a nie mogli by zrobić takie zabezpieczenie jak w bankach że kod potwierdzający przychodzi na kom i przepisujesz i wtedy dopiero możesz kupić. Oczywiście mogliby to zrobić dla zakupów powyżej np 1k zł to oni jakieś zmiany hasła etc gówno to da...
  • avatar
    Allegro w dupie ma userow, sa jedyni, gdzie pojdziesz? na swistaka? a moze na ryneczek w centrum miasta? na tym bazuja... o defaultowe logowanie po HTTPS ludzie ich meczyli od bardzo bardzo dawna i weszlo dopiero niedawno
  • avatar
    wczas :) z tym artykulem
  • avatar
    A ja dokonywałem zakupów ostatnio;/ I teraz się nie dziwie dlaczego wczoraj dostałem od nich e-maila z proźbą o zmiane hasła przy nastepnym logowaniu.
  • avatar
    A ja caly czas zaluje, ze sie eBay u nas nie przyjal. Na pierwszy rzut oka niby gorszy ale po dluzszym uzytkowaniu rewelacja. ehh...
    Zaloguj się
  • avatar
    jak sie zatrudnia ludzi bez wiedzy i doswiadczenia to pozniej takie cyrki wychodza ciekawe ze hasla nie sa ####
  • avatar
    Nie rozumiem... Firma ma tyle mamony a zatrudnia głąbów... Ostatnie zmiany w serwisie to powiedzenie wprost wszystkim swoim - jeśli mogę się tak wyrazić - klientką "mamy Was w dupie ! "

    To prawda !

    Serwis robi to co uważa za dobre, lub to co podejrzał u konkurencji - kompletnie nie licząc się ze zdaniem swoich użytkowników. Administracja nie zapyta ludzi czy im takie zmiany pasują... Brakuje jeszcze modnego zwrotu: "Jak nie podoba to wpie%^&&^"



    Sukces polega na zaspokojeniu klienta, dając mu to "co zechce" Inaczej mówiąc liczyć się ze zdaniem. Usprawnić a nie utrudnić.
    żeby nie byc gołosłownym, oto jak zostało miło przyjęte nowe zmiany w Allego http://allegro.pl/phorum/read.php?f=300&i=57596&t=57596