Aukcje.org

Aukcje internetowe w Polsce i na świecie

 

DI: Admini z Allegro znają nasze hasła

… bo taki wniosek płynie z materiału Allegro: kontrowersje wokół sposobu przechowywania haseł Anny Wasilewskiej-Śpioch w Dzienniku Internautów. Warto przeczytać.

 

  • # Joe — 8/8/2009 @ 15:30:

    No to k.. pięknie to mało ze oszukują to potencjalnie ZŁODZIEJE. Coraz k… lepiej.
    hasło zmienione …

  • # Pięknie, k… pięknie :) — 9/8/2009 @ 1:14:

    A mnie się wydaje, że to jest jedna wielka ŚCIEMA :)

    Allegro po prostu o sobie przypomina bo chyba za duże mają koszty szkolenia tych jełopów co niby tam pracują. Przyjdziesz, zmienisz hasełko to może i coś kupisz. Proste?

    :))

  • # Joe — 9/8/2009 @ 14:56:

    Nie to chyba nie to

  • # Benio — 9/8/2009 @ 22:30:

    DI nie odkrywa Ameryki. Ci, co sądzą, że administratorzy serwisu nie mają dostępu do takich danych są, delikatnie mówiąc, naiwni. Podobno znane są przypadki młodych administratorek, które otrzymawszy od SSa informację, że coś się „nie wystawia” na koncie, logowały się za pomocą loginu i hasła tegoż SSa, sprawdzały co i jak, po czym odpisywały, że „Nasze zapisy systemowe wskazują, że wszystko działa…”

  • # Patryk_O — 9/8/2009 @ 23:25:

    oho… wielkie mecyje, przecież w sql/oracle czy na czymkolwiek innym stoi Allegro zdobycie danych typu hasło to jedno proste „wywołanie”, sam pracuje w w „helpdesku” i zdarza się „przypomnieć” klientowi hasło lub zdobyć je w celu sprawdzenia czy oby na pewno to co nie działa nie działa tak jak zostało zgłoszone.

    z życia wzięte, w pewnym popularnym sklepie internetowym mój ojciec „zapomniał” hasła, zadzwonił z prośbą o pomoc, w trakcie rozmowy podał hasło konsultantowi, który stwierdził że gdyby je wpisał z dużej litery to powinno zadziałać :)

  • # Joe — 10/8/2009 @ 10:44:

    Mylimy tu pewne Pojęcia i pojęcia …
    Owszem metoda hasowania hasłem musi być znana 2-3 administratorom systemu OK zgadza się. I temu się nie dziwię.
    Ale jeśli każda ofiara niby administracyjna ma do tego dostęp to już nic innego jak naruszenie jakichkolwiek zasad.

  • # Joe — 10/8/2009 @ 10:48:

    Całkowicie prawidłowym podejściem jest nieznajomość haseł użytkowników przez adminów co najwyżej możliwość podglądu zawartości konta (rekordu bazy danych) i możliwość zmiany tego hasła - tych danych. Hasła są szyfrowane asymetrycznie - jednostronnie . RSA i takie tam …
    Tak w ramach pełnych kompetencji. :)

  • # Pięknie, k… pięknie :) — 10/8/2009 @ 23:31:

    @Joe:

    „jeśli każda ofiara niby administracyjna ma do tego dostęp to już nic innego jak naruszenie jakichkolwiek zasad.”

    A konkretnie JAKICH zasad?

  • # Joe — 11/8/2009 @ 7:22:

    Jakichkolwiek to jakichkolwiek proste chyba słowo ?
    Inaczej ? Dowolnych jakie sobie wymyślisz wpadnie do głowy ktoś coś wykombinuje … no chyba proste.

  • # Patryk_O — 11/8/2009 @ 19:41:

    @Joe:
    spokojnie, „Piękniś” ma racje, nie wiadomo o jakie zasady chodzi bo nie zostały ustalone, gdzie masz napisane że administrator nie może mieć dostępu do bazy którą administruje i kto dokładnie w Allegro ma do niej dostęp?

    wracając do tematu, informatyk jak lekarz, z bolącym uchem nie pójdziesz do okulisty, więc stwierdzenie informatyk w kontekście użytym przez wypowiadającego się zbulwersowanego „informatyka” jest IMO „głupie” bo informatykiem jest też grafik komputerowy lub fanatyk po technikum elektronicznym składający komputery o zerowej znajomości baz danych i bezpieczeństwa sieciowego.

    Wiedzę ich eksperta poddał bym też pod wątpliwość, bo pozostawiając zabezpieczenia bazy, hasła można testować prostym wywołaniem, na serwerze/stacji roboczej stojącej z boku ze „zbakapowanąymi” danymi dot. haseł i użytkowników, testować je prostym „założeniem” hasło musi mieć X znaków w tym małe, duże litery i cyfry, wszyscy użytkownicy którzy nie spełniają tego warunku lądują w liście mailingowej. można to robić o dowolnej porze, nie obciązy to serwera głównego i nie wyłączy jego zabezpieczeń.

    nisko opłacani stażyści w Allegro wcale nie muszą mieć dostępu do bazy danych, szczerze mówiąc jako bazodanoweic nawet bym się nie wahał żeby takiego stażystę kopnąć w zad gdy poprosi mnie o hasło do „bazy danych” z prostego powodu że mi coś w niej namiesza i to admin będzie musiał posprzątać a nie stażysta, który gdyby miał wiedzę na temat baz danych nie był by stażystą.

  • # Benio — 11/8/2009 @ 20:47:

    @Patryk_O

    A co jeśli nawet stażyści muszą mieć dostęp do takich danych, bo to informacje niezbędne do śledzenia kont, sprawdzania wiarygodności? Jak najłatwiej sprawdzić ile ktoś ma kont, jak licytuje? Jest kilka danych, które trzeba podać przy rejestracji, a dzięki którym można wykryć oszusta. Masz do dyspozycji imię, nazwisko, adres, numer telefonu i hasło do konta: które daje największe szanse na zidentyfikowanie tego samego człowieka? ;)

  • # Joe — 12/8/2009 @ 7:15:

    I znowu kilka wyjaśnień takich poważnych.
    1. Informatyk to osoba z wykształceniem który umożliwia go do zakwalifikowania do takiej grupy krótko, albo ukończyła odpowiednią szkołę lub w swej praktyce zawodowej (pracy) zdobyła udokumentowaną wiedzę, reszta to nic innego jak po prostu PSUJE.
    2. Z mej wiedzy informatycznej JASNO wynika że administrator bazy danych NIE POWINIEN znać haseł użytkowników, bo to mu do niczego nie potrzebne. Owszem administrator ma możliwość podglądu konta (jako rekordu bazy danych) i edycji poszczególnych informacji wraz z zmianą hasła jednak, HASŁO powinno być za has-owane i nikt prócz właścicielem konta nie powinien go znać. Proste jak k… m… :)
    Tak się robi to profesjonalnie i na całym świecie - POLSZKA (allegro?)
    3. Minimalne bezpieczeństwo hasła powinno być ustalane w momencie jego tworzenia i tak się na ogół robi, i rozwiązuje to problem. Prosty skrypt, który niczego nie pamięta ani nigdzie tego nie zapisuje inaczej jest to nic innego jak naruszenie podstawowych zasad bezpieczeństwa !

    Mi się to wydaje proste aż za proste. Co cóż Polszkie specjalisty widać mają do tego inne podejście.

  • # Patryk_O — 12/8/2009 @ 18:27:

    @ Benio:
    Mowa o domorosłym kombinatorze, dziecku neostrady czy o oszuście? Twój opis mi pasuje do pierwszego. Wyobrażasz sobie oszusta który rejestruje kilka kont na jeden adres? jedno potknięcie i kilka kont idzie z dymem.
    Co do kombinatorów pomagających znajomym w robieniu złotych interesów to wyeksportowanie duplikatów danych adresowych do arkusza kalkulacyjnego w celu sprawdzenia ile jest kont o tym samym adresie i ewentualne wysłanie stażyście zajmuje chwile. Jednak nie daje gwarancji że dwaj kumple mający zarejestrowane konta na różne adresy nie będą sobie robili „dobrze” na Allegro. Obarczenie kilku osób o tym samym adresie zamieszkania podejrzeniem że sobie pomagają też mija się z prawdą, wielu użytkowników zarejestrowanych jest np. w akademikach i internatach. Nie wydaje Ci się że nikt nie będzie „ręcznie” sprawdzał czy użytkownicy o podobnych danych adresowych nie biorą permanentnie udziału w swoich aukcjach? od tego są skrypty, które robią to automatycznie.
    nadal upieram się przy tym że stażyści nie mają dostępu do bazy danych, gdyby posiadali wiedze na temat baz danych nie byli by stażystami. Co prawda istnieje duża szansa że dostają do obróbki jakieś dane, ale są to dane na tyle mało użyteczne „na zewnątrz” że przy założeniu małego zaufania do stażystów do tej pory nie mieliśmy „przecieku” danych, masowej kradzieży kont itp itd.

    @ Joe:
    ad. 1 nadal twierdze że informatyk jest tak ogólnym pojęciem jak lekarz, z zepsutym komputerem idziesz do serwisanta a nie do programisty, jak potrzeby Ci jest program to pójdziesz do programisty a nie speca od bezpieczeństwa, więc gdy widzę wypowiedź „informatyka” od razu zapala mi się lampeczka zmuszająca do podejścia do jego wypowiedzi z rezerwą, niekiedy bardzo grubą.
    ad. 2 nie powinien znać hasła ale ma do niego dostęp brzmi jak policjant może mieć broń ale nie może mieć amunicji.
    ad. 3 Tak hasło powinno by sprawdzane przy zakładaniu/zmianie, jednak nie jest i wydaje mi się że po to jest ta aukcja. Mało skuteczna i krótkowzroczna, najwyżej że będą ją powtarzali co jakiś czas. Podejrzewam że Allegro chce miec święty spokój. Nie ukrywajmy, mamy do czynienia z „amerykanizacją” społeczeństwa, na ciastkach w sieci fastfoodów musi byc „napisane uwaga gorące, poparzysz sobie jęzor”, na opakowaniach zupek w proszku musi by napisane „propozycja podania” a Allegro teraz wprowadza aukcje zmiany „prostych” haseł i wcale bym się nie zdziwił gdyby wprowadzili z czasem komunikat typu „chroń swoje hasło które musi byś skomplikowane” lub adnotacje w regulaminie że nie ponoszą odpowiedzialności za hasło i/lub bezpieczeństwo konta.

  • # slodka.jola — 13/8/2009 @ 6:32:

    Jestem ciekawy w jaki sposob przechowywane sa hasla w systemach bankowych. Wiekszosc bankow podczas logowania stosuje mechanizm maskowania hasla - uzytkownik podaje tylko wskazana literki z hasla (np 1**3***7*9). Skoro tylko czesc hasla uzytkownika jest przesylana do systemu bankowego, no to nie ma mozliwosci wygenerowania hasha calego hasla. Skoro system nie moze wygenerowac hasha z danych przesylanych podczas uwierzytelniania uzytkownika, to hasla nie moga byc w tym systemie przechowywane w postaci zahaszowanej - czyli sytemy bankowe musza przechowywac hasla w postaci jawnej.

  • # Monter — 13/8/2009 @ 17:02:

    Artykuł w DI jest tak durny, że aż szkoda klawiatury, i o ile nie jest sponsorowanym tworem zawierającym linki do blogów i nazwiska wypowiadających się tam „speców”, to może służyć tylko do wprowadzania niepotrzebnego zamieszania.

    Zresztą na podobnym żenującym poziomie są wszystkie tutejsze wypowiedzi i biadolenia wespół z wyssanymi z palca domysłami, może poza tym, co pisze @Patryk_O - chociaż ta sprawa z zaleceniem spróbowania wpisania hasła z włączonym Caps-Lockiem to taka SOA#2 - czyli druga standardowa odpowiedź admina, zaraz po: „u mnie działa” - wiele osób rejestruje się z włączonym Caps’em i nawet tego nie widzi, więc to mógł być przypadek.

    Komentarz @slodka.jola to kolejna woda na młyn, jeżeli nie pdaje się banku, jaki to stosuje. Bo jak mówimy o Millennium, to dla uściślenia trzeba powiedzieć, że logowanie składa się tam z identyfikatora (loginu), osobnego hasła wpisywanego w całości, i dopiero na końcu jako dodatkowa forma indentyfikacji proszeni jesteśmy o wybrane cyfry np. PESEL’u. Nie widzę przeszkód, aby PESEL był zapisany w bazie w formie jawnej, bo jak się poda zły login lub hasło, baza o wybrane pozycje nr PESEL nie zostanie nawet odpytana, a kilka nieudanych prób zabaw z hasłem blokuje całkiem dostęp internetowy do konta i trzeba iść do najbliższej placówki po nowe. Jakoś nie widzę w tym systemie wad, a same zalety. I uprzedzając ewentualne docinki - nie, nie pracuję w banku.

  • # Benio — 13/8/2009 @ 19:58:

    @Patryk_O

    Albo sam jesteś stażystą, albo wielkim naiwniakiem, Patryk… Przespaceruj się do kolegów i koleżanek, do centrum, i popytaj o to, do jakich danych mają dostęp. Druga sprawa: stażyści - o jakim „ograniczonym zaufaniu” mówisz? W kwestii tych wycieków to także nie jesteś zbyt precyzyjny: kilka spektakularnych akcji się zdarzyło…

  • # Joe — 13/8/2009 @ 21:43:

    Najpierw odpowiedz na pytanie Joli :
    http://pentester.jogger.pl/2009/02/16/hasla-maskowane/
    Myślę że w miarę prosta odpowiedź
    WAŻNE : cytat :
    Czasami spotyka się również wariant, gdzie hasło użytkownika jest trzymane w postaci niezaszyfrowanej i porównywane są wprost przesłane przez użytkownika wybrane znaki hasła. Rozwiązanie to jednak nie należy do najlepszych (a w zasadzie jest zrobione źle).

    Więc ?

    Do Patryka O
    ad. 1 Podtrzymuję swoją interpretację.
    A może dam cios ostateczny czy jak masz np brutalnie zapalenie otrzewnej to do kogo się udajesz ? Zdziska z bramy ? Co to leczy ziołami ? Gwarantuję że rano będzie BSOD z tym że raczej ostateczny. Owszem jesli masz komputerk za 500 to nie ważne kto ci go dobije ty tata czy też zmiankowany Zdzisek.
    Ale jesli masz krytyczny system (np sterujący dużą firmą) lub np elektrownią atomowa, to wybacz…. Allegro jest duże ….
    ad.2 I tu niestety widać brak kompetentnej wiedzy „informatycznej” - (ogólnie powiedziane bez wnikania w szczegóły). Jeśli tak uważasz to chętnie poznam twoje dane do konta razem z loginem i hasłem ? a czemu nie ? Jesli może go znać jakiś „ktoś” administrator to czemu nie ja.
    Prosty przykład Pracuje sobie X admin tak ? tak w duzym banku ? tak ? nio …. Ma dostęp do bazy danych wiadomo z wszystkim razem z hasłami dopuki pracuje jest OK. Jednak wpada na genialny pomysł skopuje sobie bazunię z loginami i hasłami, nr tel (zabezpieczenie SMS) pozmienia takie dane na wybranych kontach … na drugi dzień wylatuje na dalekie wyspy tam goli konta na jakies konto na arubie …. a póżniej juz tylko żyć nie umierać …. Może to prosty (nawet bardzo uproszczony przykład) ale chyba jasno obrazuje mniej więcej o co chodzi.
    ad3. Jej nie chce mi się już pisać …

  • # Benio — 13/8/2009 @ 23:19:

    Powiem tak: zastanówcie się nad jednym drobiazgiem - jak bardzo różni się Wasze hasło do allegro od, np. hasła do skrzynki pocztowej, z którą powiązane są profile na forach, w serwisach społecznościowych? Jedna cyfrą? I teraz wyobraźcie sobie co się może wydarzyć, jeśli dostęp do takich danych mają pracownicy biura obsługi klienta, których nie rekrutuje się z pomocą testów na inteligencję…

  • # Patryk_O — 14/8/2009 @ 9:40:

    @Benio
    to podaj poprosze przykłady tych spektakularnych wycieków danych w których udział brali pracownicy Allegro, bo jakoś nie pamiętam żadnego

    @Joe
    przy ostrym zapaleniu otrzewnej nie udaje się do nikogo… bo nie jestem w stanie się gdziekolwiek udać - żona wzywa pogotowie i ono mnie wiezie do szpitala na oddział chorób zakaźnych a nie np. do dentysty lub chirurga którzy nie mają zielonego pojęcia o zapaleniu otrzewnej a też są lekarzami :)

    Ad.2 Tak samo jak w przypadku Benia, podaj jakikolwiek przykład wyniesienia danych przez pracowników w jakiejś dużej firmie?

    p.s. Mam dziwne wrażenie że mamy do czynienia z malkontentami którzy boją się wyjść z domu bo ich samochód potrąci.

  • # cezcez — 14/8/2009 @ 10:47:

    @Patryk_O
    >>to podaj poprosze przykłady tych spektakularnych wycieków danych w których udział brali pracownicy Allegro, bo jakoś nie pamiętam żadnego>.

    Ja ci podam: marzec 2003 roku. Pełne dane osobowe użytkowników były dostępne każdej osobie korzystającej z usług serwisu. Sposób dostępu do nich został nawet opisany na publicznym, ogólnodostępnym forum dyskusyjnym serwisu Allegro w dniu 04.03.2003r

  • # Joe — 14/8/2009 @ 11:57:

    Szkoda dalej się męczyć to co jest na allegro to syf.
    Z gównianymi zabezpieczeniami i bandą patałachów. Tyle ….

  • # Benio — 15/8/2009 @ 12:16:

    @cezcez

    Dziękuję, że mnie wyręczyłeś :)

    @Patryk_O

    Przykro to stwierdzić, ale najsłabszym ogniwem w allegro są ludzie, którzy albo psują wizerunek, skądinąd bardzo pożytecznego, serwisu, albo zaliczają spektakularne wtopy, przez które każdy normalny człowiek zapadłby się po ziemię. Nie bez znaczenia jest też propaganda sukcesu uprawiana wewnątrz firmy. Moim skromnym zdaniem powinna się za Was wziąć organizacja, która zajmuje się zwalczaniem sekt, bo to, co się z Wami dzieje po pewnym czasie pracy w allegro, to już coś więcej niż zaślepienie (przykład: czy normalny człowiek, z własnej woli, stałby przez dobrą godzinę, kretyńsko się uśmiechał i bił brawo na widok użytkowników wchodzących na salę, gdzie odbywa się wieczorna część SGA?).

    Żeby nie być gołosłownym: wymienię jeszcze dwa przypadki wycieku danych: pierwszy - daaawno temu, kiedy na spotkaniu admin allegro wyświetlił nie ten ekran, co trzeba i sporo osób zyskało dostęp do wrażliwych danych i bodaj przed jakimiś dwoma, trzema laty, kiedy jeden z Was testował zabezpieczenia i do sieci przedostały się screeny z danymi użytkowników.

  • # RoMan — 17/8/2009 @ 9:57:

    Admirałowie sobie odpoczęli przez przedłużony weekend (ostatnia wypowiedź na ZBT sprzed weekendu jest z czwartku). Ale forumowe ORMO czuwa i kajeciki były w ruchu - uprzejmie doniosło gdzie trzeba i 14 dni bloka jest :)

    Pamiętajcie drogie dzieci: źródłem prawa na Allegro jest przede wszystkim widzimisię admirała.

  • # Pięknie, k… pięknie :) — 17/8/2009 @ 16:10:

    @Patryk_O

    „oho… wielkie mecyje, przecież w sql/oracle czy na czymkolwiek innym stoi Allegro zdobycie danych typu hasło to jedno proste „wywołanie”,”

    OK, jak jesteś taki dobry, to podaj mi hasło użytkownika (pierwszy z brzegu): http://www.allegro.pl/my_page.php?uid13996442

    :)

  • # FartAttack — 17/8/2009 @ 23:55:

    Się admini napracowali po przedłużonym weekendzie - przed 9:00 zakończyli odpowiadanie na ZBT. Bo po co się przemęczać?

  • # bitka — 18/8/2009 @ 4:00:

    witam czy moglby mi ktos powiedziec jaki jest numer telefonu na informacje allegro dziekuje i pozdrawiam

  • # Joe — 18/8/2009 @ 19:14:

    nr tel na inf allegro oficjalnie czegoś takiego nie ma :)
    Ale parę googlnięć
    http://allegro.netpr.pl/pr/79087/sklep-bron-pl-wdrozyl-payback?changeLocale=PL
    I nr est :)
    Widać chronią nr jak swoje dane czyli h..wo…

  • # Monter — 18/8/2009 @ 21:12:

    Oczywiście @bitka, oto on:

    null-sieben-null-null-ALLAH

  • # Pięknie, k… pięknie :) — 23/8/2009 @ 1:34:

    Pozwolę sobie na małą dygresję…
    Kiedyś dzwoniłem do Allegro. Jakaś baba pitoliła 3po3 o formularzu. no i się rozłączyła. To nie był automat :)

    Ponieważ formularz zgłoszeniowy wtedy nie działał więc zadzwoniłem ponownie. Baba odpowiedziała, żebym napisał o awarii za pomocą… formularza :))

    Myślę, że admini w taki sam sposób sie ze sobą porozumiewają. Za pomocą formularza. I dlatego hasełka są jawne :)

  • # wojrab — 23/8/2009 @ 17:08:

    Sama znajomość hasła nic nie daje. Bo nie wyobrażam sobie, by ktokolwiek z pracowników allegro zaryzykował np. wystawienie /złośliwie/ aukcji na koncie usera w celu zaszkodzenia jemu/zawieszenia konta.

    Dostęp do panelu, w którym są przechowywane loginy (CL) wraz z komentarzami, opisującymi, czemu tam się znalazły powinien być ograniczony (chroniony np. osobnym hasłem) a
    ściśle ograniczona liczba pracowników z możliwością dostępu do tej części panelu to mniejsza możliwość przecieków. I tyle.

  • # buc — 25/8/2009 @ 10:24:

    dobrze zaprojektowane systemy maja mozliwosc maskarady - admin moze ‘zalogowac’ sie na dowolne konto kazdego usera bez hasla - samym loginem.

    jest np taki modul do drupala - bardzo uzyteczna rzecz

  • # Anonim — 26/8/2009 @ 18:33:

    Ruszył ktoś z was d**e i pobiegł do sądu ? Czy dalej bedziecie sobie gadać aby gadać ? Jeśli nie to ’shut up’ jak mówią Anglicy

  • # FartAttack — 27/8/2009 @ 17:05:

    Oj, odważny inaczej Anonimie, jeden taki ruszył dupę i pobiegł do sądu. I trwa to już tak z 6 lat.

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

Zobacz:

Poprzedni news: Fałszywe powiadomienia do kupujących

Następny news: eBay rezygnuje z Tradedoubler…

 

Partnerzy:
Sklepy

Aukcje.org
Aukcje.org - RSS RSS | Aukcje.org - RSS komentarzy RSS komentarzy | Kontakt | O stronie | Polityka prywatności

Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone