Kłopoty z bezpieczeństwem Allegro.pl

Internet Standard 20 grudnia 2006 15:27 Piotr Zalewski
Jak podał serwis hacking.pl, serwis aukcyjny Allegro.pl zawiera poważne luki w bezpieczeństwie. Zdaniem hacking.pl, kilka nieskomplikowanych zabiegów wystarczy, by wykraść wszystkie dane osobowe użytkownika Allegro korzystającego z sekcji Moje Allegro. Platforma aukcyjna odpiera zarzuty.
Łukasz Lach z serwisu hacking.pl opisał sprawę luk bezpieczeństwa w najpopularniejszym polskim serwisie aukcyjnym. Według Lacha nie stanowi żadnego problemu kradzież takich danych jak login i hasło użytkownika. O kłopotach związanych z bezpieczeństwem w polskich serwisach aukcyjnych pisał także serwis specjalistyczny Aukcje.org.

Allegro zapowiedziało przerwę techniczną w nocy ze środy na czwartek (20 - 21 grudnia) w godzinach 1 - 2. Lach uważa, że przerwa jest związana z łataniem wykrytych dziur.

Sprawę słabych zabezpieczeń na Allegro.pl, przytoczyło wiele serwisów internetowych, w tym. m.in. Dziennik Internautów, Gazeta.pl oraz Onet.pl.

Patryk Tryzubiak, PR Manager z Allegro wysłał oświadczenie firmy w tej sprawie, które publikujemy poniżej:


Patryk Tryzubiak, PR Manager Allegro.pl.
W związku z pojawiającymi się w niektórych serwisach internetowych informacjami o braku zabezpieczenia serwisu Allegro.pl chciałbym zdementować te informacje.

Rzeczywiście sytuacja opisywana przes serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest conajmniej nadużyciem.
Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza. Rzeczywiście dokonał on tego czego dokonał.

Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. Za to jesteśmy mu wdzięczni. Tak jak jesteśmy wdzięczni za każdą informację mogącą pomóc w zwiększeniu bezpieczeństwa i funkcjonalności naszego serwisu.

Faktycznie nasza reakcja na maila Pana Łukasza była spóźniona. Nie wynikało to jednak ze złej woli pracowników naszego serwisu. Poprostu mail ten trafił do kolejki w formularzu zgłoszeniowym. W związku z okresem przedświątecznym pozostał tam dłużej niż powinien. Niestety okres przedświąteczny jest dla nas zawsze związany ze wzmożoną pracą oraz dużo większą ilością korespondencji.

W momencie gdy dotarliśmy do informacji od Pana Łukasza nasz dział techniczny rozpoczął natychmiastowe prace nad poprawieniem bezpieczeństwa naszego serwisu.

W celu wyeliminowania podobnych problemów komunikacyjnych w przyszłości stworzyliśmy oddzielną kolejkę:

Bezpieczeństwo>Zgłoszenia dotyczące zabezpieczeń serwisu

oraz

Sprawy techniczne>Zgłoszenia dotyczące zabezpieczeń serwisu

W obu tych formularzach można zgłaszać uwagi dla naszego Działu Technicznego.


Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci. Faktycznie problem ten miał miejsce. Został już jednak naprawiony.

Nie jest jednak tak, że dowlona osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl.

Nie prawdą jest, jak twierdzi Pan Rafał Pawlak z hacking.pl, że: "Każdy Użytkownik był skazany na łaskę osób, które doskonale wiedziały, że błędy w oprogramowaniu dają im pełną kontrolę nad kontem każdego handlującego na Allegro".

I ostatni zarzut, czyli przerwa technicza zapowiadana w naszym serwisie. W żaden sposób nie jest ona związana z problemem wykazanym przez Pana Łukasza.

Podsumowując, chciałbym jeszcze raz podkreślić, że twierdzenie jakoby poziom zabezpieczeń serwisu Allegro był zerowy jest nieprawdziwe. Kłopoty z zabezpieczeniami miały także inne serwisy na świecie.



Podziel się |

Komentarze (9)

  • saaa
  • 2006-12-20 15:52:35

podchody :)

  • hades
  • 2006-12-20 16:18:13

Panowanie człowieka nad kodem jest kwestią umowną. Program działa w oparciu o "sprzęt" który działa w oparciu o program ;). A wszystko stworzył omylny jak RAM człowiek. Wczoraj w TVN pokazano podobne problemy Policji, NFZ i co? Ano nic szczególnego. Nie ma przecież alternatywy podobnie jak z Allegro :)

  • carstein
  • 2006-12-20 16:37:54

link: http://www.aukcje.org/archives/2006/12/01/podsumowanie-roku-2006-raport-ukasza-pilorza.htm To tak gwoli wyjaśnienia, kto pierwszy wykrył dziury, a kto sobie ich autorstwo przypisuje.

  • Autor/PZ
  • 2006-12-20 16:45:33

@carstein: Dziękuję. Uzupełniłem tekst. Pozdrawiam.

  • DMST
  • 2006-12-20 17:05:42

Ja jestem właśnie ofiara takiego włamania : kilkanaście dni temu wieczorem około 22:00 otrzymałem e-mail że zalicytowałem telefon , którego to oczywiście osobiście nie licytowałem . Nie mniej jednak ktoś włamał się na moje konto i zalicytował - od razu zmieniłem hasło i zgłosiłem do serwisu Allegro. Odzew był 1 dniowy i pracownik wszystko co zrobił w tej sprawie to doradził żebym zmienił hasło (co juz dawno zrobiłem) w serwisie Allegro i we wszystkich moich skrzynkach pocztowych :)

  • in5ane
  • 2006-12-20 20:07:27

Ja kiedyś u swojej dziewczyny sprawdziłem allegro - niestety z powodu zaufania do nie nie wykasowałem hasła, kiedy się rozstaliśmy okazało się że małpa zmieniła hasło, na szczęście nie znała imienia panieńskiego mojej matki wiec konto przejąłem w ciągu paru minut - ale świetna nauczka - w sprawie kasy NIE UFAJ NIKOMU a szczególnie swojej pipci ;p

  • goldenretriever.net
  • 2006-12-22 08:01:05

@in5ane A skąd ona znała hasło? Czyżbyś będąc u niej zaznaczył "Zapamiętaj hasło" w przeglądarce? ;-)

  • stefanP
  • 2006-12-22 09:28:30

<img src="jav
ascript:alert('ten sam bład jest na internet standard ;D');" />

  • igork.
  • 2007-04-09 13:02:40

!!! Błąd ortograficzny: :"conajmniej". Co najmniej należy się wstydzić. Proszę to poprawić.

reklama

Popularne produkty

Nokaut
Dieta czekoladowa

Dieta czekoladowa

w 21 sklepach od 16,38 zł
Dieta czekoladowa
Romans, zdrada i co dalej?

Romans, zdrada i co dalej?

w 15 sklepach od 17,67 zł
Romans, zdrada i co dalej?
Seks narkotyki i czekolada

Seks narkotyki i czekolada

w 18 sklepach od 29,20 zł
Seks narkotyki i czekolada

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001