Internet

Mogły wyciec hasła Allegro

Jakub Kralka | Redaktor serwisu benchmark.pl
Autor: Jakub Kralka
18 komentarzy Dyskutuj z nami

Nawet tak zaufana marka jak Allegro wciąż miewa problemy z bezpieczeństwem. Aż trudno uwierzyć!

  Warto przeczytać:
 

Firefox w tarapatach? Już wkrótce Google przestanie finansować!

Choć specjaliści od sieciowego bezpieczeństwa dwoją się i troją, by zapewnić nam jak największy komfort korzystania z internetowych usług, wciąż należy podchodzić do nich z ograniczonym zaufaniem. Najlepszym przykładem jest incydent z Allegro, który na swoich łamach opisał niebezpiecznik.pl.

Jeden z czytelników serwisu poinformował, że przez około godzinę nie byly zabezpieczone nasze dane, m.in. hasło i mógł je podejrzeć każdy, kto w przeciągu ostatnich 90 dni dokonywał z nami jakiejkolwiek transakcji. Głos w tej sprawie - nieco uspokajający - zabrało samo Allegro.

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w  kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z  kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z  kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W  wyniku tego uzyskał dostęp umożliwiający korzystanie z  dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych.

Ważną informacją jest fakt, że dostęp do WebAPI allegro nie jest publiczny. Aby móc korzystać z tej usługi potrzebny jest klucz dostępu wystawiany przez serwis allegro. Oznacza to, iż doskonale wiemy kim są odbiorcy usługi. Każde logowanie do webAPI jest rejestrowane.

Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błedu. Niemniej ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników. Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.

Teraz wszystko jest już na szczęście w porządku. Zainteresowanych wpadką i szczegółami błędu odsyłamy na łamy niebezpiecznika.

Źródło: Niebezpiecznik

Polecamy artykuły:    
Fotogaleria: obudowa jakiej jeszcze nie było
TOP-10: Monitory
G eForce GTX 580 - najszybsza w rodzinie

 

Komentarze

18
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    I zaufaj tu czemukolwiek w necie
  • avatar
    Konto usunięte
    ojojoj
  • avatar
    neo937
    Zajęliby się lepiej ulepszaniem zabezpieczeń a nie modyfikacją szaty graficznej.
  • avatar
    Konto usunięte
    Burza w szklance wody.
  • avatar
    Konto usunięte
    Tylko nie mówcie mi, że allegro trzyma hasła jako plain text
  • avatar
    Konto usunięte
    "...powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć..."

    naprawdę to powiedział specjalista z Allegro?
    LOL ;)
  • avatar
    sleepe
    a moje konto wisi
    to sie zalogowalem ehh na allegro po aktualizacji z 23.11.10 nie mozliwe
  • avatar
    Konto usunięte
    Od dawna bezpieczeństwo na Allegro mnie wkurza, ostatnio plagą jest okradanie ludzi z ich kont i dokonywanie masowego kupna na różnych aukcjach. Ja jako sprzedający miałem taka sytuację już parę razy i za każdym razem przez takie coś jestem z kasą w plecy mimo że Allegro cofnęło prowizje od sprzedaży, która mała nie była bo kilka tysięcy zł ( chociażby powtórny koszt wystawienia aukcji, bo nie każdy wystawia za 10gr...). A Allegro nic nie robi w tej sprawie, a nie mogli by zrobić takie zabezpieczenie jak w bankach że kod potwierdzający przychodzi na kom i przepisujesz i wtedy dopiero możesz kupić. Oczywiście mogliby to zrobić dla zakupów powyżej np 1k zł to oni jakieś zmiany hasła etc gówno to da...
  • avatar
    Konto usunięte
    Allegro w dupie ma userow, sa jedyni, gdzie pojdziesz? na swistaka? a moze na ryneczek w centrum miasta? na tym bazuja... o defaultowe logowanie po HTTPS ludzie ich meczyli od bardzo bardzo dawna i weszlo dopiero niedawno
  • avatar
    Fourth Illusion
    wczas :) z tym artykulem
  • avatar
    adbacz
    A ja dokonywałem zakupów ostatnio;/ I teraz się nie dziwie dlaczego wczoraj dostałem od nich e-maila z proźbą o zmiane hasła przy nastepnym logowaniu.
  • avatar
    Konto usunięte
    A ja caly czas zaluje, ze sie eBay u nas nie przyjal. Na pierwszy rzut oka niby gorszy ale po dluzszym uzytkowaniu rewelacja. ehh...
  • avatar
    sleepe
    jak sie zatrudnia ludzi bez wiedzy i doswiadczenia to pozniej takie cyrki wychodza ciekawe ze hasla nie sa ####
  • avatar
    Konto usunięte
    Nie rozumiem... Firma ma tyle mamony a zatrudnia głąbów... Ostatnie zmiany w serwisie to powiedzenie wprost wszystkim swoim - jeśli mogę się tak wyrazić - klientką "mamy Was w dupie ! "

    To prawda !

    Serwis robi to co uważa za dobre, lub to co podejrzał u konkurencji - kompletnie nie licząc się ze zdaniem swoich użytkowników. Administracja nie zapyta ludzi czy im takie zmiany pasują... Brakuje jeszcze modnego zwrotu: "Jak nie podoba to wpie%^&&^"



    Sukces polega na zaspokojeniu klienta, dając mu to "co zechce" Inaczej mówiąc liczyć się ze zdaniem. Usprawnić a nie utrudnić.
    żeby nie byc gołosłownym, oto jak zostało miło przyjęte nowe zmiany w Allego http://allegro.pl/phorum/read.php?f=300&i=57596&t=57596