Allegro dało ciała. Hasła użytkowników widoczne dla każdego!

Allegro dało ciała. Hasła użytkowników widoczne dla każdego!

Haker (Fot. Flickr/John Lewis/Lic. CC by)
Haker (Fot. Flickr/John Lewis/Lic. CC by)
Mariusz Kosakowski
25.11.2010 11:24

Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.

Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.

Trudno o lepszą okazję do poznania danych osobowych i hasła któregoś z użytkowników Allegro. Serwis przez godzinę stał otworem dla spragnionych takich informacji. Wystarczyło, że użytkownik wziął udział w aukcji w ostatnich 90 dniach. Ten incydent potwierdził również, że Allegro przechowuje hasła swoich użytkowników w niezahashowanej formie.

Błąd został zauważony przez internautę, który podpisuje się nickiem “slavkowsky”. To właśnie on wysyłał informację o błędzie do serwisu Niebezpiecznik.pl:

Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza, również haseł w czystej postaci.

Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt, która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.), zaczęła zwracać wyjątek “Client: looks like we got no XML document“. Sprawdziłem więc, co tak naprawdę zwraca webapi — to, co zobaczyłem, mnie wmurowało.

Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł.

Czujny slavkowsky podesłał też przykładową tablicę, która zawiera dane każdego z użytkowników, a którą mógł sobie podejrzeć każdy, kto wykrył błąd.

Allegro na szczęście szybko zareagowało na błąd. Serwis poprosił swoich użytkowników o zmianę haseł, a tych, którzy weszli w posiadanie danych, o ich usunięcie. Całą sprawę skomentował rzecznik prasowy Allegro Patryk Tryzubiak:

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić, na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę z naszych analiz wynika, iż było to jedyne odwołanie do danych.

Allegro zapewniło, że luka została już usunięta.

Rzuć także okiem na nasze zestawienie alternatywnych serwisów aukcyjnych nad Wisłą.

Źródło artykułu:WP Gadżetomania
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (0)