To już jest naprawdę kompromitacja: ledwie co przebrzmiały pierwsze echa wycieku danych osobowych z systemu Wrocławskiej Karty Miejskiej, a tu się okazuje, że -- grubą wtopę z bezpieczeństwem danych zaliczył serwis Allegro.
Jak piszą w Niebezpieczniku wczoraj, przez dobrą godzinę, każdy mógł ściągnąć wszystkie dane (w tym hasło do serwisu) innych allegrowiczów. Zdaniem QXL Poland sp. z o.o. oczywiście nie ma problemu, ponieważ z "ludzkiej pomyłki" mógł skorzystać tylko użytkownik webAPI (i skorzystała tylko jedna osoba, która na szczęście użyła swej wiedzy wyłącznie w celu poinformowania o luce Niebezpiecznika), zaś ewentualnym amatorom pogrożono palcem, bo "przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć".
Najlepsze (najgorsze) w sprawie jest jednak to, że Allegro nadal trzyma hasła w serwisie w "czystym tekście", czyli w sposób, który przy każdej takiej luce pozwala na zapoznanie się z każdym hasłem każdego użytkownika. Czym to grozi wiem nawet ja, jakby na to nie patrzeć -- lajkonik w tematach informatycznych.
Ot na razie grozi choćby tym, że po każdej takiej wtopie dostaję kolejnego listela od QXP Poland, w którym przekonuje się mnie, iż
W trosce o bezpieczeństwo Twojego konta, przeprowadzamy akcję zmiany haseł dostępu do Allegro.
Przy następnej próbie logowania, zostaniesz prawdopodobnie poproszony o zmianę hasła. Zmień je. Pozwoli to zachować wysoki poziom bezpieczeństwa w serwisie.
Zbyt proste i popularne hasło stanowi potencjalne zagrożenie dla Twojego konta. Pamiętaj, aby po zmianie hasła uaktualnić dane we wszystkich zewnetrznych aplikacjach i programach, używanych do obsługi konta w Allegro.
co oznacza, że Allegro znów "zepsuło" moje hasło i znów muszę wymyślać coś nowego -- ciesząc się, że w tzw. międzyczasie ktoś nie wywinął mi tam niezłego psikusa.
Piszę "znów", bo przecież Allegro zaliczyło podobny strzał w kolano niecałe półtora roku temu!! Już wówczas zwrócono uwagę na potencjalne skutki lekceważenia elementarnych zasad bezpieczeństwa danych tego serwisu, już wówczas praktykę taką krytykowali eksperci od bezpieczeństwa danych, już wówczas w wypowiedzi dla Dziennika Internautów mówiłem (wybaczcie autocytat), iż:
Wróżąc z fusów, można jednak powiedzieć, że serwis może mieć poważny problem z prawidłowym zabezpieczeniem integralności danych tam zgromadzonych, w szczególności z dopełnieniem obowiązku zapewnienia zastosowania środków bezpieczeństwa danych osobowych na poziomie wysokim (zgodnie z rozporządzeniem MSWiA z 2004 r.). W takim przypadku należy pamiętać, iż administrator danych ponosi odpowiedzialność zarówno ze względu na brak prawidłowego zabezpieczenia danych, jak i -- o czym często się zapomina -- może ponosić odpowiedzialność, jeśli wskutek nieuprawnionego dostępu do danych osoba trzecia wyrządzi szkodę osobie, której dane są przetwarzane.
Z drugiej strony dziwne, że Allegro odwraca uwagę od problemu, mówiąc -- skądinąd słusznie -- o problemie używania identycznych haseł do różnych serwisów. Mając świadomość, że niektórzy internauci postępują w tak nieroztropny sposób, Allegro powinno zachować szczególną ostrożność, jeśli chodzi o przechowywanie haseł w serwisie aukcyjnym.
Wniosek nasuwa się sam i jest on raczej prosty: niby cały czas panta rhei, ale pewne sprawy -- w tym podejście administratorów Allegro do bezpieczeństwa danych użytkowników -- raczej się nie zmienia.
Copyright © Money.pl
Holender, dobrze wiedzieć, idę zmienić hasło na Allegro.
Ale niech się ludziska odwalą od używania tego samego hasła na wszystkich portalach.
Że niby mam wymyślić osobne hasło dla każdego z p*********** serwisów
społecznościowych, od których jestem uzależniona, a niektóre z nich zmieniać co jakiś
czas, tak? Przy założeniu, że w niektórych mam inny nick, bo mój podstawowy był
zajęty (właśnie na przykład w Allegro) i jeszcze są te kropki, gdy wpisuje się hasło
i nie można go zobaczyć, co mnie zawsze ostro wkurza?
Naprawdę mam lepsze rzeczy do roboty. skomentuj
'Pier-dyli-ard' (ale bez myślników) to naprawdę gtak brzydkie słowo, że trzeba
gwiazdkować? Bogowie, to nawet nie jest słowo, lol. Moralfaggotry. skomentuj
'Pier-dyli-ard' (ale bez myślników) to naprawdę gtak brzydkie słowo, że trzeba
gwiazdkować? Bogowie, to nawet nie jest słowo, lol. Moralfaggotry. skomentuj
Przechowywanie haseł zahashowanych uniemożliwia wykorzystanie pewnych metod
uwierzytelnienia. Innymi słowy, przechowywanie ich w czystym tekście (lub
zaszyfrowanych symetrycznie) to nie jest jakaś "oczywista luka"; w pewnych sytuacjach
inaczej się nie da. skomentuj
np. jakich? skomentuj
związek jedynie z ich późniejszym wykorzystaniem. skomentuj
hasłem. Byle digest w HTTP czy uwierzytelnienie Kerberosem wymagają przechowywania
niehashowanych haseł. skomentuj
No błagam, jest chyba różnica między "PFHGJJTU", a "p.i.e.r.d.y.l.i.a.r.d" ?
Gdy stosuje się "salt" do hasła albo koduje kilka razy, odkodowanie nie jest taką
prostą sztuczką. skomentuj
haslo przechowywane bez szyfrowania jest oczywista luka: chocby dlatego, ze jakis
zezlony pracownik odchodzac moze sobie pozyczyc dane i je komus sprzedac...
jesli stosujesz metode "zabezpieczenia" wymagajaca przechowania hasla czystym
tekstem, to znaczy, ze to Twoje zabezpieczenie jest przesunieciem dziury w
bezpieczenstwie w inne miejsce :) skomentuj
Allegro. To jest klasyczna strona internetowa z hasłem i loginem przesyłanymi przez
formularz.
Jeśli istnieje niewielka grupa użytkowników, którzy korzystają z Kerberosa, to co za
problem przydzielić oddzielny mechanizm uwierzytelniania? skomentuj
bez tego będzie ci trochę trudno zrozumieć temat rozmowy. Poza tym zapoznaj się, jak
działają metody uwierzytelniania bardziej skomplikowane niż plaintekstowe hasło.
@zyx: Oczywiście. Ale nazwanie faktu przechowywania niezahashowanych haseł
"oczywistą luką" mocno rozmija się z rzeczywistością. skomentuj
Dobra - nieuwaznie czytalem Twojego posta, wymieniasz szyfrowanie symetryczne :)
Aczkolwiek zdaje sie, ze ktos kto o tym zaczal, mowil o kompletnym braku szyfrowania
(chyba ze znow cos wzialem przez domniemanie?). Zgadza sie, ze zaszyfrowane
symetrycznie nie jest "oczywista luka", jest natomiast taka przechowanie hasel
otwartym tekstem - co zostalo Allegro zarzucone.
Teraz zadanie dla Ciebie: wytlumacz niewtajemniczonym, czemu szyfrowanie symetryczne
moze sie objawic jakby nie bylo szyfrowania (ujawnieniem hasla), gdzie jest tu
przewaga nad haslem przechowywanym otwartym tekstem, gdzie bedzie przewaga
hashowania. skomentuj
mailem. skomentuj
hasłem. Byle digest w HTTP czy uwierzytelnienie Kerberosem wymagają przechowywania
niehashowanych haseł."
A masz na to jakieś wsparcie? Najczęściej nadal wystarczy ci przechowanie skrótu -
tylko że z innym saltem. Dla HTTP Digest jest to md5(user:realm:password) zamiast
md5(random_salt:password). To że niektóre implementacje wymagają plaintextu to ich
"oczywisty błąd" skomentuj
HA! Ostatnim razem zmieniłem hasło i przy okazji wykasowałem z moich danych nazwisko
panieńskie matki (bo i po co tam ono?), niestety po jakimś czasie zapomniałem hasła
(nowe i skomplikowane było), aby je odzyskać musiałem podać w formularzu nazwisko
panieńskie matki, które wykasowałem i system zwracał błąd. Admini stwierdzili ze nie
ma innego sposobu dostania się do konta i zmiany hasła, co więcej, gdy napisałem, że
rezygnuje z ich usług i kończę przygodę z Allegro, okazało się, że do zamknięcia
konta potrzebuję co? - nazwisko panieńskie mojej matki. Konto jest, moich danych nie
chcą wykasować i konta zamknąć, a ja nie mogę go używać - ot i całe Allegro. skomentuj
kwestiach technicznych polegam po prostu na innych opiniach. Na komentarzach
wyrażonych tutaj -- także! skomentuj
> @Pierre do le Perra: Następnym razem po prostu zwrócę uwagę
> autorowi prywatnym mailem.
ej, ale to nie byl sarkazm, ani wypowiedz imbecyla nie umiejacego sie z bledu wycofac
lub udajacego, ze cos wie:
prosilem, zebys opisal, bo wielu tutaj czytajacych sie nie zna, a Ty cos najwyrazniej
wiesz wiecej - napisz i tyle. skomentuj