Aukcje.org

Aukcje internetowe w Polsce i na świecie

 

Dziennik Internautów: Użytkowniku Allegro, uważaj na linki!

Marcin Maj z Dziennika Internautów kolejny raz przywołuje temat bezpieczeństwa na aukcjach (czytaj), a to za sprawą zapisu na blogu Michała Majchrowicza. Autor bloga pisze:

Wszyscy zapewne pamiętają słynną historię z błędami w Allegro wykrytymi przed świętami przez ekipę hacking.pl. Po dwóch tygodniach od załatania tamtej luki postanowiłem przyjrzeć się zabezpieczeniom allegro. Jak się okazało znalezienie kolejnego błędu o takim samym stopniu niebezpieczeństwa zajęło mi 10 minut.


Tytułem sprostowania do materiału w Dzienniku Internautów przypomnę, że temat dziur w serwisie allegro zaczął się dużo wcześniej niż we wrześniu. 13. marca 2006 opublikowałem przypomnienie/ostrzeżenie o luce bezpieczeństwa w Allegro. Tydzień wcześniej, w rozmowie telefonicznej z jednym z administratorów allegro, poinformowałem go o odnalezieniu luki bezpieczeństwa pozwalającej na dowolną manipulację stronami serwisu Allegro i umiarkowanie masowe przejmowanie przypadkowych kont użytkowników. Rozmowa telefoniczna nie pomogła - po stronie Allegro nie działo się nic.

Po opublikowaniu newsa, materiał został odczytany wielokrotnie z komputerów pracujących w domenie allegro.pl. Z rozmowy z administratorami allegro wiem, że w Poznaniu zaczęło się gorączkowe poszukiwanie admina, z którym rozmawiałem przez telefon. Nie chodziło o nawiązanie ze mną kontaktu - ale o wykrycie, który z pracowników pozwolił sobie na prywatne kontakty telefoniczne ze mną. Poza szukaniem admina NADAL nie działo się NIC.

Dopiero po opublikowaniu wyraźnej wskazówki, cztery dni później, allegro zatrzymało na kilka minut serwis, a po przerwie większość JavaScriptu, który przechodził bez najmniejszych przeszkód przez Starą Kafejkę w Allegro, została zablokowana. Ale… załatwiało to tylko ułamek problemu.

Nadal nikt z Allegro nie odważył się na kontakt ze mną. Od autorów hacking.pl otrzymałem propozycję wykonania „prezentacji ataku”. Uznałem że to niepoważne… absolutnie nieodpowiedzialne. Obecne prezentacje „screenów” i opisy metod spowodowały, że co kilka tygodni ktoś pisze o „znalezieniu metody w 10 min.”. Przewidywałem, że gdybym zgodził się na propozycję redakcji hacking.pl „zawody kto szybciej” zaczęłyby się jeszcze wcześniej. Widać to teraz - kiedy znaleźli kogoś, kto zaprezentował screeny i kod.

Opis problemu przesłałem jednocześnie do administracji wszystkich serwisów które skontaktowały się ze mną. Mimo braku kontaktu - wysłałem go również do Michała Klara z allegro.pl. Zapowiedziałem, że przez miesiąc powstrzymam się od publikowania czegokolwiek w temacie dziur, aby administracje miały czas na wprowadzenie poprawek.

Symptomatyczne: w noc z niedzieli na poniedziałek (!!!) przed dniem, kiedy miał ukazać się materiał opisujący problem, Michał Klar z Allegro.pl przysłał mi niedorzecznego maila, w którym pisze, że nie było żadnej luki! W komentarzu do jego insynuacji podałem namiar do strony „o mnie” jednego z administratorów allegro, na której występowały wszystkie niebezpieczne elementy kodu JavaScript potrzebne mi do przejmowania kont użytkowników. Zawartość strony została zmieniona. Tylko że…

Do dziś, nikt w Allegro nie sprawdził czy na obecnie udostępnianych stronach serwisu ktoś nie zastawił opisywanej przeze mnie prawie rok temu pułapki. Nikt nigdy nie przefiltrował stron na występowanie „dziwnych kodów” JavaScriptu. Nadal istnieją strony, na których potrafię wskazać wszystkie niezbędne elementy potrzebne do przejmowania kont.

Pracownicy Allegro.pl kłamią.

 

  • # joe — 19/1/2007 @ 16:47:

    Hmmm Pracownicy allegro to ciekawe ludki
    Powiem tak to nie dowartościowani admini z wiedzą jako taką ale chyba jednak mającą pewne luki :) efekty …
    A spróbuj im coś napisać no to już przekichanie, masz konto no to na dzień dobry BAN (permanentny), dalej jak leci, na wszelki wypadek jak nieszczęśnik działa w sieci osiedlowej i chopaki i dziewczęta korzystają z wspólnej sieci to zbanują całą pulę i kont i po IP (najlepiej całą podmaskę) tak na wszelki wypadek jakby ktoś miał pulę do wykorzystania.
    Dalej wiadomo …

    Nie ma się co dziwić są monopolistą co ich interesuję ze ktos przejmie konta a nuż widelec „w dobrej wierze” np aby troszkę po handlować na allegro przynajmniej przez jakiś czas później może być różnie.

    Użytkownicy to w sumie zło nie chciane „tolerowane ?” jak jest grzeczne, owszem wykładające kasę ale często bez…. etc (no bo jak można …)

    Bym napisał jaki kraj tacy (taki(e))…

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

Zobacz:

Poprzedni news: Nieregulaminowa blokada komentarzy

Następny news: Allegro.pl - trzy komunikaty

 

Partnerzy:
Sklepy.org - tylko sprawdzone adresy Snajper.net - snajper aukcyjny Fotopanel.pl - panel aukcyjny Czytnik rss - strona startowa

Aukcje.org
Aukcje.org - RSS RSS | Aukcje.org - RSS komentarzy RSS komentarzy | Kontakt | O stronie | Polityka prywatności

Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone