Kłopoty z bezpieczeństwem Allegro.pl
-
- Piotr Zalewski,
- 20.12.2006, godz. 15:27
Jak podał serwis hacking.pl, serwis aukcyjny Allegro.pl zawiera poważne luki w bezpieczeństwie. Zdaniem hacking.pl, kilka nieskomplikowanych zabiegów wystarczy, by wykraść wszystkie dane osobowe użytkownika Allegro korzystającego z sekcji Moje Allegro. Platforma aukcyjna odpiera zarzuty.
Łukasz Lach z serwisu hacking.pl opisał sprawę luk bezpieczeństwa w najpopularniejszym polskim serwisie aukcyjnym. Według Lacha nie stanowi żadnego problemu kradzież takich danych jak login i hasło użytkownika. O kłopotach związanych z bezpieczeństwem w polskich serwisach aukcyjnych pisał także serwis specjalistyczny Aukcje.org.
Allegro zapowiedziało przerwę techniczną w nocy ze środy na czwartek (20 - 21 grudnia) w godzinach 1 - 2. Lach uważa, że przerwa jest związana z łataniem wykrytych dziur.
Sprawę słabych zabezpieczeń na Allegro.pl, przytoczyło wiele serwisów internetowych, w tym. m.in. Dziennik Internautów, Gazeta.pl oraz Onet.pl.
Patryk Tryzubiak, PR Manager z Allegro wysłał oświadczenie firmy w tej sprawie, które publikujemy poniżej:
W związku z pojawiającymi się w niektórych serwisach internetowych informacjami o braku zabezpieczenia serwisu Allegro.pl chciałbym zdementować te informacje.
Rzeczywiście sytuacja opisywana przes serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest conajmniej nadużyciem.
Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza. Rzeczywiście dokonał on tego czego dokonał.
Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. Za to jesteśmy mu wdzięczni. Tak jak jesteśmy wdzięczni za każdą informację mogącą pomóc w zwiększeniu bezpieczeństwa i funkcjonalności naszego serwisu.
Faktycznie nasza reakcja na maila Pana Łukasza była spóźniona. Nie wynikało to jednak ze złej woli pracowników naszego serwisu. Poprostu mail ten trafił do kolejki w formularzu zgłoszeniowym. W związku z okresem przedświątecznym pozostał tam dłużej niż powinien. Niestety okres przedświąteczny jest dla nas zawsze związany ze wzmożoną pracą oraz dużo większą ilością korespondencji.
W momencie gdy dotarliśmy do informacji od Pana Łukasza nasz dział techniczny rozpoczął natychmiastowe prace nad poprawieniem bezpieczeństwa naszego serwisu.
W celu wyeliminowania podobnych problemów komunikacyjnych w przyszłości stworzyliśmy oddzielną kolejkę:
Bezpieczeństwo>Zgłoszenia dotyczące zabezpieczeń serwisu
oraz
Sprawy techniczne>Zgłoszenia dotyczące zabezpieczeń serwisu
W obu tych formularzach można zgłaszać uwagi dla naszego Działu Technicznego.
Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci. Faktycznie problem ten miał miejsce. Został już jednak naprawiony.
Nie jest jednak tak, że dowlona osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl.
Nie prawdą jest, jak twierdzi Pan Rafał Pawlak z hacking.pl, że: "Każdy Użytkownik był skazany na łaskę osób, które doskonale wiedziały, że błędy w oprogramowaniu dają im pełną kontrolę nad kontem każdego handlującego na Allegro".
I ostatni zarzut, czyli przerwa technicza zapowiadana w naszym serwisie. W żaden sposób nie jest ona związana z problemem wykazanym przez Pana Łukasza.
Podsumowując, chciałbym jeszcze raz podkreślić, że twierdzenie jakoby poziom zabezpieczeń serwisu Allegro był zerowy jest nieprawdziwe. Kłopoty z zabezpieczeniami miały także inne serwisy na świecie.
