Allegro dało ciała. Hasła użytkowników widoczne dla każdego!
Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.
Ten fakt z pewnością podchwycą przeciwnicy robienia zakupów w Internecie. Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników.
Trudno o lepszą okazję do poznania danych osobowych i hasła któregoś z użytkowników Allegro. Serwis przez godzinę stał otworem dla spragnionych takich informacji. Wystarczyło, że użytkownik wziął udział w aukcji w ostatnich 90 dniach. Ten incydent potwierdził również, że Allegro przechowuje hasła swoich użytkowników w niezahashowanej formie.
Błąd został zauważony przez internautę, który podpisuje się nickiem “slavkowsky”. To właśnie on wysyłał informację o błędzie do serwisu Niebezpiecznik.pl:
Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza, również haseł w czystej postaci.
Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt, która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.), zaczęła zwracać wyjątek “Client: looks like we got no XML document“. Sprawdziłem więc, co tak naprawdę zwraca webapi — to, co zobaczyłem, mnie wmurowało.
Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł.
Czujny slavkowsky podesłał też przykładową tablicę, która zawiera dane każdego z użytkowników, a którą mógł sobie podejrzeć każdy, kto wykrył błąd.
Allegro na szczęście szybko zareagowało na błąd. Serwis poprosił swoich użytkowników o zmianę haseł, a tych, którzy weszli w posiadanie danych, o ich usunięcie. Całą sprawę skomentował rzecznik prasowy Allegro Patryk Tryzubiak:
Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.
Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić, na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę z naszych analiz wynika, iż było to jedyne odwołanie do danych.
Allegro zapewniło, że luka została już usunięta.
Rzuć także okiem na nasze zestawienie alternatywnych serwisów aukcyjnych nad Wisłą.
Źródło: Niebezpiecznik.pl