Allegro dało ciała. Hasła użytkowników widoczne dla każdego!

Allegro dało ciała. Hasła użytkowników widoczne dla każdego!
25.11.2010 11:24
Haker (Fot. Flickr/John Lewis/Lic. CC by)
Haker (Fot. Flickr/John Lewis/Lic. CC by)
Mariusz Kosakowski
Mariusz Kosakowski

Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.

Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.

Trudno o lepszą okazję do poznania danych osobowych i hasła któregoś z użytkowników Allegro. Serwis przez godzinę stał otworem dla spragnionych takich informacji. Wystarczyło, że użytkownik wziął udział w aukcji w ostatnich 90 dniach. Ten incydent potwierdził również, że Allegro przechowuje hasła swoich użytkowników w niezahashowanej formie.

Błąd został zauważony przez internautę, który podpisuje się nickiem “slavkowsky”. To właśnie on wysyłał informację o błędzie do serwisu Niebezpiecznik.pl:

Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza, również haseł w czystej postaci.

Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt, która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.), zaczęła zwracać wyjątek “Client: looks like we got no XML document“. Sprawdziłem więc, co tak naprawdę zwraca webapi — to, co zobaczyłem, mnie wmurowało.

Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł.

Czujny slavkowsky podesłał też przykładową tablicę, która zawiera dane każdego z użytkowników, a którą mógł sobie podejrzeć każdy, kto wykrył błąd.

Allegro na szczęście szybko zareagowało na błąd. Serwis poprosił swoich użytkowników o zmianę haseł, a tych, którzy weszli w posiadanie danych, o ich usunięcie. Całą sprawę skomentował rzecznik prasowy Allegro Patryk Tryzubiak:

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić, na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę z naszych analiz wynika, iż było to jedyne odwołanie do danych.

Allegro zapewniło, że luka została już usunięta.

Rzuć także okiem na nasze zestawienie alternatywnych serwisów aukcyjnych nad Wisłą.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)