Aukcje.org
Aukcje internetowe w Polsce i na świecie
Dziura w serwisach aukcji - dementi
Jeden z czytelników aukcje.org rozsyła po serwisach informacyjnych zaproszenie do publikacji opisu swojej metody przechwytywania loginów i haseł użytkowników allegro. Niestety stawia w swoim mailu Aukcje.org w dosyć niekorzystnym świetle - wymieniając jako warunek publikacji powołanie się na mój serwis.
Poniżej treść maila oraz mój komentarz do banialuk w nim zawartych:
Wiadome jest, że można za pomocą bardzo prostych technik włamać sie na konto
uzytkownika Allegro bez jego wiedzy i zgody[2].
Pisze o tym w swych newsach znany aukcjonerom serwis www.aukcje.org
Ponieważ obsługa serwisu aukcyjnego Allegro nie zrobiła nic w omawianej
sprawie przez około 2 tygodnie[3], pomimo zgłoszenia im (jak mozna przeczytac w
newsach w w/w serwisie) nalezy uznać, że ignorancja obsługi tego serwisu
sięgnęła szczytu.
Powstał więc pomysł[4] opublikowania w jaki sposób można zalogować się na
czyjeś konto nie znając nawet jego nazwy (!!!!).
Sposób został sprawdzony i wymaga (dla testów) jedynie podstawowej
znajomości obsługi Windows[5].
Dla osób, pragnących łamać prawo i robić to „hurtowo” - należy znać
minimalne zagadnienia dotyczące języka PHP[6], w którym jest napisany serwis
aukcyjny Allegro. Program, który pozwoli na włamanie nie powinien być
dłuższy, niż 10 linii i może byc napisany np. w PHP[7].
Zaznaczam, że nie jestem osobą, która posiada wiedzę potrzebną do włamywania
sie do serwisów internetowych a język PHP znam w stopniu średnim. Analiza, w
jaki sposób można dokonac tego, o czym pisze p. Jacek w swoim serwisie
www.aukcje.org zajęła mi niespełna 10 minut[8]. Był to wystarczający czas, aby
włamac sie na swoje konto w Allegro bez żadnej autoryzacji.[9]
W dniu dzisiejszym sprawdziłem tę usterkę z innym kontem za zgodą i wiedzą
jego właściciela. Okazało się, że jest to banalnie proste.
Podsumowując, wykryta ustera w oprogramowaniu serwisu Allegro pociąga za
soba koniecznosc bardzo dużych zmian w użytej technologii z zakresu
bezpieczeństwa[10]. W przeciwnym wypadku serwis ten jest po prostu niebezpieczny
i nie gwarantuje należytego bezpieczeństwa transakcji[11]. Można po przejęciu
kontroli nad kontem np. zalicytować w dowolnej liczbie aukcji, wystawić
komentarze negatywne czy rozpocząć kosztowne aukcje.
Mail ten zostaje wysłany do wielu serwisów informacyjnych. Zainteresowane
serwisy proszone są o kontakt ze mną celem opublikowania materiałów
potwierdzających możliwośc włamania na konta w Allegro wraz ze szczegółowym
opisem użytych technik.
Ze względu na wcześniejsze działania administracji Allegro, więcej
szczegółów na obecną chwilę podać nie mogę. Osoba, która ostatnio zgłosiła
lukę w zabezpieczeniach Allegro ma z tego powodu zablokowane konto[12] co
jedynie potwierdza brak przygotowania obsługi tego serwisu do normalnych
działań[13].
Mój komentarz:
1. Temat „jest znany” administratorowi allegro od… przerwy reklamowej w emisji Matrixa w TVN (4.marca?), kiedy rozmawiałem z nim telefonicznie. Pierwsza publikacja w tej sprawie pochodzi z 13.marca. Dziura omówiona w tamtej rozmowie została w dużej mierze wyeliminowana - w piątek 17.marca.
2. Zwracam uwagę na bezosobową manierę: „wiadome jest”, „temat jest znany” itd.
Otóż „wiadome jest”, że zdając sobie sprawę z powagi sprawy i ew. konsekwencji prawnych nie upubliczniłem opisu metody.
Nadal rozważam komu i w jaki sposób przekazać informację. To, czego nie wiadomo, a na co chciałbym w tym miejscu zwrócić uwagę, to fakt, że wszystkie poważne serwisy (Aukcje24.pl. Allegro, ebay) podjęły próbę skontaktowania się ze mną, ew odpowiedziały na podobne próby z mojej strony. Na razie jednak żadnej administracji nie został przedstawiony opis luki. Moim nadrzędnym celem jest w tym momencie takie rozwiązanie sprawy, które pozwoli sprawnie udostępnić niezbędne informacje o zagrożeniu możliwie największej ilości właścicieli serwisów. Nie jestem zainteresowany prezentacją techniki włamania. Nie jestem także zainteresowany udostępnieniem informacji tylko jednemu serwisowi na wyłączność.
3. Bzdura opisana wyżej (reakcja była). Najwidoczniej autor tego maila nie podjął próby skontaktowania się z Allegro, nie doczytał ew. nie zrozumiał tego co napisałem w serwisie, bo dowiedziałby się, że administracja sprawę luki zna.
4. Znowu bezosobowo: pomysł nie powstał sam, miał konkretnego ojca: autora maila. Szkoda tylko że powołuje się na mnie, nie informując mnie o tym.
5. Kolejna bzdura.
Primo: luka, o której napisałem w serwisie nie dotyczy wyłącznie Allegro.
Secundo: nie ma nic wspólnego z żadnym systemem operacyjnym.
Tertio: Nie ma nic wspólnego z php.
6. Obojętne w czym został napisany serwis aukcyjny. Luka nie ma nic wspólnego z językiem programowania - jest efektem… „braku higieny informatycznej”.
7. Nie jest potrzebne ŻADNE oprogramowanie.
8. Geniusz albo głupiec.
9. Włamanie na swoje konto. Czyli jednak ten drugi…
10. „język PHP znam w stopniu średnim” ale „ustera w oprogramowaniu serwisu Allegro pociąga za
soba koniecznosc bardzo dużych zmian w użytej technologii z zakresu
bezpieczeństwa”. Albo rybki… albo grzybki. Albo się nie znasz, albo się znasz.
11. Podsumowując: „Balcerowicz musi odejść”.
12. Ostatnio ja zgłaszałem. Konto zamknąłem jakieś 2 lata temu - dokładniej: zamknął ją na moje polecenie, (wydane właściwym formularzem), administrator serwisu. Przypadkowo znany mi z imienia i nazwiska (pozdrawiam). Wcześniejszy wypadek zawieszenia konta, który chyba miał na myśli autor maila, był całkowicie uzasadniony. Poza powiadomieniem, dokonano włamania na konta użytkowników i jednego z administratorów. Z tego powodu sprawą zainteresował się nie tylko serwis allegro, ale także policja z wydziału przestępstw gospodarczych.
13. Co potwierdza także tezę, że „Balcerowicz musi odejść”.
Jakby było tego mało, autor maila zaserwował zainteresowanym kolejne doniesienie:
1. wskazanie serwisu www.aukcje.org jako serwisu, który jako pierwszy odkrył
lukę w zabezpieczeniach. To tam po raz pierwszy ukazała sie informacja o
dziurze w Allegro i tam jest stale monitorowana i komentowana.
2. założenie dwóch kont w Allegro z Waszej sieci i przetestowanie tego z
Waszej sieci
3. Opublikowanie pełnej treści korespondencji , jaką prowadzimy w tej
sprawie.
Czy zgadza się Pan na takie warunki?
Panie Rudecki, nie wiem jakie masz umiejętności programowania, motywacje itd, ale nie mieszaj mnie i mojego serwisu do swojej gierki.
Zobacz:
Poprzedni news: Szybki test w google
Następny news: Dziura… i po dziurze
- Lider w sprzedaży broni bez zezwoleń w Polsce: Bron.pl
- fide - najstarszy w Polski sklep internetowy oferujący piękne, unikalne i markowe produkty wyposażenia i dekoracji wnętrz.
- Skype PL - Codziennie 150 000 nowych użytkowników
- Ceneo.pl - serwis porównujący ceny tego samego produktu w wielu sklepach internetowych
- Pracuj.pl: blisko 12 000 ofert pracy z Polski i zagranicy.
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# Monter — 24/3/2006 @ 15:46:
No tak, zawsze się znajdzie jakiś nawiedzony lub chętny sławy… zdobytej w najpopularniejszy sposób w polsce - czyimś kosztem.
# BankierWirtualny — 24/3/2006 @ 18:58:
No, teraz przegiąłeś….
Ciekawe, czy bedziesz miał odwagę przyjąć i opublikować poniższe słowa krytyki.
Ad. 1. poczytaj sobie newsy we własnym serwisie to będzesz wiedzieć o czym się pisze.
Ad. 2. Bezosobowa maniera Ci sie nie podoba? Co jeszcze? Przecinki nie w tych miejscach co potrzeba? Poza tym co ma wspólnego styl pisania do „Nadal rozważam komu i w jaki sposób przekazać informację”. Może raczej powinieneś napisać „Nadal rozważam komu i w jaki sposób przekazać informację bo nie wiem jeszcze ile za to mam wziąc kasy” :)))
Ad. 3. Sam napisałeś w jednym ze swoich kolejnych newsów o Allegro, którymi zawaliłes swój serwis, ze admini tego serwisu gorączkowo działają i zablokowali JavaScript na forum. Oczywiście to nic nie daje bo to nie o JavaScript chodzi. Dlatego zdanie „obsługa serwisu aukcyjnego Allegro nie zrobiła nic” w omawianej
sprawie” jest jak najbardziej prawdziwe. Dla Ciebie powinno byc napisane, zebyś skumał o co chodzi, ze „obsługa serwisu aukcyjnego Allegro nie zrobiła nic w omawianej sprawie i nie usunęła dziury w serwisie i nadal można sie zalogować na czyjes konto”.
Ad. 4. Nie widzę nic złego w zdaniu „Powstał więc pomysł ….”. Ale skoro Ci to przeszkada… Na taką przypadłość kup sobie w aptece persen to Ci ulży :))
Ad. 5. Nie umiesz czytać. W informacji jest napisane, że potrzebny jest Windows a nie wymyślone przez Ciebie 4 jakieś bzdury nie mające nic wspólnego z komentowanym zdaniem.
Ad. 6. Luka w Allegro jest związana wybitnie właśnie z tym językiem (PHP) oraz nieudolnościa programisty. Zabezpieczenie tego jest opisane i to nawet po polsku na stronach internetowych. Wystarczy poszukać w serwisie www.google.pl
Ad. 7. Cytuję „może byc napisany np. w PHP” . Może być również napisany palcem na wodzie, byleby zadziałał :)) Liczy sie skuteczność.
Ad. 8. Skoro dałeś wybór „geniusz albo głupiec” to pewnie geniusz, skoro w 10 minut wykrył dziurę, prawda? Ech, ponoszą Cię nerwy…
Ad. 9. Włamanie na czyjes konto byłoby nieetyczne oraz sprzeczne z prawem. A o nim przecież bez przerwy piszesz. Fakt, ten drugi jest głupcem.
Ad. 10. Ech… Gdybys choć znał podstawy PHP to może i byśmy mogli podyskutować… www.php.net - tam szukaj odpowiedzi.
Ad. 11. Balcerowicz nie ma nic wspólnego z dzirawym Allegro. No ale skoro www.aukcje.org chca politykować to ja się stad wynoszę. Nie mam siły na dyskusje z ludźmmi, których ambicje przesłaniają zdrowy rozsądek.
Ad. 12. Piszesz o rynku aukcji w Polsce i zapominasz co napisałeś. Przypomnę - zawieszono konto jakiegoś uzytkownika serwisu wtedy, gdy zgłosił usterkę w skryptach Allegro. Było to dość typowe jesli chodzi o ten serwis.
Ad. 13. Patrz Ad 11.
Podsumowując - jak zwykle, gdy nie wiadomo o co chodzi to chodzi o pieniądze. O jakiej wielkości pieniądze chodzi Jackowi Strzembkowkiemu?
Czekam na odpowiedź.
# Jacek Z. Strzembkowski — 24/3/2006 @ 19:46:
na które pytanie? (Naucz się pisać moje nazwisko, ew. Copy&Paste …)
# Yaa — 24/3/2006 @ 21:01:
Przecież dobrze napisał Twoje nazwisko! Naucz się czytać…
# BankierWirtualny — 24/3/2006 @ 21:06:
Oto fragment zapisu rozmowy ze skype z sesji sprawdzającej mój sposób włamu do Allegro:
Rafał: 01:22:46 989d0476fb8e29f2c1e29e1446c99a79
Rafał: 01:23:38 powiedz jaki masz tam login
X: 01:24:06 moment, zaraz Ci powiem co to za konto
X: 01:24:40 Proszę:
X: 01:24:41 dsa123
X: 01:24:53 http://www.allegro.pl/show_item.php?item=93947961
Rafał: 01:25:25 prosze nie licytowac z tego konta ;p
Dalszą dyskusje z Panem Copy&Paste uważam za BEZCELOWĄ.
# Czytelnik — 24/3/2006 @ 21:13:
Samouwilebienie i arogancja wypływająca z tekstów Pana Strzembkowskiego aż bije po oczach.
Swoją drogą to rzeczywiście ciekawe jakich sum chce od serwisów aukcyjnych wszechwiedzący i jedyny Pan Strzemkowski :-)
Pozdrowienia.
Były czytelnik.
# Michał — 25/3/2006 @ 11:58:
Jacku, przykro mi, ale na nie do końca dorzeczny mail odpowiedziałeś jeszcze bardziej niedorzecznie. O ile niepełną dorzeczność maila oryginalnego mogłem źle ocenić z racji zagmatwanej sprawy i nieprecyzyjnych wypowiedzi, to Ty posłużyłeś się pustymi słowami i demagogią (vide: 8, 11 i inne). Dam jedną radę: nie czyń tego więcej. Jak radę wykorzystasz, to Twoja sprawa.
# Jacek Z. Strzembkowski — 25/3/2006 @ 12:15:
@Yaa:
„(..)pieniądze chodzi Jackowi Strzembkow(s)kiemu?”
@Czytelnik:
Może napisz jaką kwotę wg znanych Ci informacji chcę od serwisów.
# Jacek Z. Strzembkowski — 25/3/2006 @ 12:25:
@Michał:
Nie trafia do mnie tłumaczenie (zawarte w mailu) że skoro jakiś serwis nie wykonuje widocznych ruchów oraz zgłasza włamanie na konta użytkowników i administratora policji - to znaczy, że „serwis ten jest po prostu niebezpieczny i nie gwarantuje należytego bezpieczeństwa transakcji”. TO jest argumentacja na zasadzie: „zamknęli nam PGR i nie mamy pracy, więc Balcerowicz musi odejść”.
Taka argumentacja jest moim zdaniem wyciąganiem zbyt dalekich i nieuzasadnionych wniosków. Niestety łączenie mojego nazwiska oraz nazwy serwisu Aukcje.org z takimi wystąpieniami jak spam rozsyłany po serwisach informacyjnych, uważam za stawianie mnie i mojego serwisu w złym świetle. Podobne zdanie będą prawdopodobnie mieli właściciele serwisów nazwanych „niebezpiecznymi”, ale to już ich sprawa.
Dziękuję za poradę. Mam nadzieję, że powyższy komentarz uzasadni użycie skrótów myślowych w stylu „Balcerowicz musi odejść”.
# MiKeyCo — 25/3/2006 @ 12:33:
Jacku, ad.12:
Stan wyższej konieczności.
Fakt, że zainteresowała się sprawą policja nie stwierdza nic poza tym, że wykonała to, co powinna. A sprawę powinna zbadać. Nawet jeśli owy user włamał się na konta innych userów, ale nie wyrządził żadnych szkód (zwłaszcza materialnych) a następnie powiadomił o tym administrację serwisu, to nie złamał prawa.
Owy user poświęcił więc jedno dobro (’nienaruszalność informatyczną serwisu :)’, dokonał włamania do systemu informatycznego), by ratować dobro większe (bezpieczeństwo serwisu, konta wszystkich userów - ochronić przed właśnie takimi włamaniami). Albo dobitniej: dokonał włamania do systemu, by właśnie te włamania się nie zdarzały.
Stawiam dolary przeciw orzechom, że nawet jeśli owy user się przyzna i zezna wprost „włamałem się”, a nawet dostarczy dowody przeciw sobie, to przy właściwej linii obrony nie zostanie skazany.
# Jacek Z. Strzembkowski — 25/3/2006 @ 12:43:
@MiKeyCo
Nie znam konsekwencji sprawy, poza tymi, które ta osoba wymieniła w tym komentarzu.
Wyższa konieczność jest do udowodnienia… o ile nie padnie pytanie o wyczerpanie wszystkich możliwych dróg powiadomienia właściciela serwisu o zaistniałych okolicznościach. Moim zdaniem nie wyczerpano wszelkich możliwości. Dlatego napisałem, że „pośpiech jest wskazany przy łapaniu pcheł”.
Mimo zawiłości sprawy mnie udało się skontaktować z zainteresowanymi serwisami bez „prezentacji działania”, ani publikacji efektów „kontrolowanego” (lub nie) włamania.
To o czym piszesz, kiedyś dobitnie określił pewien mój znajomy: „Działanie pt: zrobię Ci krzywdę dla Twojego dobra”. Ja tak nie działam.
# MiKeyCo — 25/3/2006 @ 13:36:
Co do wątpliwości nt. SWK, to zgadzam się. Kilka przesłanek zdaje się mogło nie być spełnionych. A nawet gdyby były, to znając życie prokuratury i sądy prędzej skorzystałyby z niskiej szkodliwości społecznej czynu lub warunkowego umorzenia postępowania, tym samym nie oczyszczając z zarzutów.
Nie zgodzę się tylko z jednym: „zrobię Ci krzywdę dla Twojego dobra”.
1) owy user (zdaje się) nie wyrządził szkód, więc nie zrobił przytoczonej ‘krzywdy’.
2) owy user działał w interesie swoim, innych userów i firmy, której własnością jest serwis. Więc nie tylko ‘im’, operatorowi serwisu, wyrządził porzytek.
Więc bliżej to do określenia: „Zrobię tak jak zrobiłby prawdziwy włamywacz, by nie dopuścić do prawdziwych włamań. Od włamywacza odróżnia mnie to, że działam w interesie ogółu, nie wyrządzam szkód a działania zgłaszam operatorowi serwisu.”
# auto_joker — 26/3/2006 @ 13:03:
Oto fragment zapisu rozmowy ze skype z sesji sprawdzającej mój sposób włamu do Allegro:
Rafał: 01:22:46 989d0476fb8e29f2c1e29e1446c99a79
Rafał: 01:23:38 powiedz jaki masz tam login
X: 01:24:06 moment, zaraz Ci powiem co to za konto
X: 01:24:40 Proszę:
X: 01:24:41 dsa123
X: 01:24:53 http://www.allegro.pl/show_item.php?item=93947961
Rafał: 01:25:25 prosze nie licytowac z tego konta ;p
a pan BankrutWitrualny wszystko rejestruje niczym michniminik he he :-)
# Freak — 27/3/2006 @ 16:10:
Autor newsa to chyba jakiś dziwny człowieczyna. Ktoś mu reklamuje serwis a ten go miesza z błotem. A tak poza tym to w zupełności popieram tego, którego się cytuje. Ten serwis jest dosłownie zawalony informacjami o dziurawym allegro. Nie rozumiem więc tej nienawiści (i braku zrozumienia), jaką pokazał aukcje.org
W komentarzu do maila sa bzdury świadczące o 2 sprawach. Albo chodzi o kasę albo o sławę. Jak znam zycie, w przypadku autora newsa o jedno i drugie. Współczuję, bo pewnie obie srokii polecą w świat.
JAcek zadaje pytanie: „na które pytanie?” Jak widać nie za bardzo umie czytać, bo 3 linijki wyżej to pytanie jest zadane. Czyli „o jakiej wielkości pieniądze chodzi Jackowi”. Ja też chętnie przeczytam odpowiedź .
Jeszcze jedna sprawa - odnośnie pkt 7. Nie trzeba żadnego oprogramowania???????? A np. Windows?
Ech, głopota sieje sie sama…
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.