Allegro: znów wtopa z bezpieczeństwem naszych danych
 Oceń wpis
   

logo allegroTo już jest naprawdę kompromitacja: ledwie co przebrzmiały pierwsze echa wycieku danych osobowych z systemu Wrocławskiej Karty Miejskiej, a tu się okazuje, że -- grubą wtopę z bezpieczeństwem danych zaliczył serwis Allegro.

Jak piszą w Niebezpieczniku wczoraj, przez dobrą godzinę, każdy mógł ściągnąć wszystkie dane (w tym hasło do serwisu) innych allegrowiczów. Zdaniem QXL Poland sp. z o.o. oczywiście nie ma problemu, ponieważ z "ludzkiej pomyłki" mógł skorzystać tylko użytkownik webAPI (i skorzystała tylko jedna osoba, która na szczęście użyła swej wiedzy wyłącznie w celu poinformowania o luce Niebezpiecznika), zaś ewentualnym amatorom pogrożono palcem, bo "przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć".

Najlepsze (najgorsze) w sprawie jest jednak to, że Allegro nadal trzyma hasła w serwisie w "czystym tekście", czyli w sposób, który przy każdej takiej luce pozwala na zapoznanie się z każdym hasłem każdego użytkownika. Czym to grozi wiem nawet ja, jakby na to nie patrzeć -- lajkonik w tematach informatycznych.
Ot na razie grozi choćby tym, że po każdej takiej wtopie dostaję kolejnego listela od QXP Poland, w którym przekonuje się mnie, iż

W trosce o bezpieczeństwo Twojego konta, przeprowadzamy akcję zmiany haseł dostępu do Allegro.
Przy następnej próbie logowania, zostaniesz prawdopodobnie poproszony o zmianę hasła. Zmień je. Pozwoli to zachować wysoki poziom bezpieczeństwa w serwisie.
Zbyt proste i popularne hasło stanowi potencjalne zagrożenie dla Twojego konta. Pamiętaj, aby po zmianie hasła uaktualnić dane we wszystkich zewnetrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

co oznacza, że Allegro znów "zepsuło" moje hasło i znów muszę wymyślać coś nowego -- ciesząc się, że w tzw. międzyczasie ktoś nie wywinął mi tam niezłego psikusa.

Piszę "znów", bo przecież Allegro zaliczyło podobny strzał w kolano niecałe półtora roku temu!! Już wówczas zwrócono uwagę na potencjalne skutki lekceważenia elementarnych zasad bezpieczeństwa danych tego serwisu, już wówczas praktykę taką krytykowali eksperci od bezpieczeństwa danych, już wówczas w wypowiedzi dla Dziennika Internautów mówiłem (wybaczcie autocytat), iż:

Wróżąc z fusów, można jednak powiedzieć, że serwis może mieć poważny problem z prawidłowym zabezpieczeniem integralności danych tam zgromadzonych, w szczególności z dopełnieniem obowiązku zapewnienia zastosowania środków bezpieczeństwa danych osobowych na poziomie wysokim (zgodnie z rozporządzeniem MSWiA z 2004 r.). W takim przypadku należy pamiętać, iż administrator danych ponosi odpowiedzialność zarówno ze względu na brak prawidłowego zabezpieczenia danych, jak i -- o czym często się zapomina -- może ponosić odpowiedzialność, jeśli wskutek nieuprawnionego dostępu do danych osoba trzecia wyrządzi szkodę osobie, której dane są przetwarzane.

Z drugiej strony dziwne, że Allegro odwraca uwagę od problemu, mówiąc -- skądinąd słusznie -- o problemie używania identycznych haseł do różnych serwisów. Mając świadomość, że niektórzy internauci postępują w tak nieroztropny sposób, Allegro powinno zachować szczególną ostrożność, jeśli chodzi o przechowywanie haseł w serwisie aukcyjnym.

Wniosek nasuwa się sam i jest on raczej prosty: niby cały czas panta rhei, ale pewne sprawy -- w tym podejście administratorów Allegro do bezpieczeństwa danych użytkowników -- raczej się nie zmienia.

Komentarze (19)
Zakaz używania lustrzanek na... Niepokojąca wiadomość

Komentarze

2010-11-25 12:47:17 | 79.191.61.* | SStefania
Re [0]
Holender, dobrze wiedzieć, idę zmienić hasło na Allegro.
Ale niech się ludziska odwalą od używania tego samego hasła na wszystkich portalach.
Że niby mam wymyślić osobne hasło dla każdego z p*********** serwisów
społecznościowych, od których jestem uzależniona, a niektóre z nich zmieniać co jakiś
czas, tak? Przy założeniu, że w niektórych mam inny nick, bo mój podstawowy był
zajęty (właśnie na przykład w Allegro) i jeszcze są te kropki, gdy wpisuje się hasło
i nie można go zobaczyć, co mnie zawsze ostro wkurza?
Naprawdę mam lepsze rzeczy do roboty. skomentuj
2010-11-25 12:49:03 | 79.191.61.* | SStefania
Re [0]
'Pier-dyli-ard' (ale bez myślników) to naprawdę gtak brzydkie słowo, że trzeba
gwiazdkować? Bogowie, to nawet nie jest słowo, lol. Moralfaggotry. skomentuj
2010-11-25 12:49:03 | 79.191.61.* | SStefania
Re [0]
'Pier-dyli-ard' (ale bez myślników) to naprawdę gtak brzydkie słowo, że trzeba
gwiazdkować? Bogowie, to nawet nie jest słowo, lol. Moralfaggotry. skomentuj
2010-11-25 12:50:04 | 83.12.187.* | trasz
Re: Allegro: znów wtopa z bezpieczeństwem naszych danych [12]
Przechowywanie haseł zahashowanych uniemożliwia wykorzystanie pewnych metod
uwierzytelnienia. Innymi słowy, przechowywanie ich w czystym tekście (lub
zaszyfrowanych symetrycznie) to nie jest jakaś "oczywista luka"; w pewnych sytuacjach
inaczej się nie da. skomentuj
2010-11-25 12:58:27 | *.*.*.* | olgierd
Metoda uwierzytelniania polegająca na tym, że w zasadzie każdy może się "wbić"? ;-) skomentuj
2010-11-25 13:20:39 | 170.252.72.* | mxmxm
@trasz

np. jakich? skomentuj
2010-11-25 13:31:40 | 83.12.187.* | trasz
To, czy hasła są hashowane czy nie, nie ma związku z tym, kto się może wbić. Ma
związek jedynie z ich późniejszym wykorzystaniem. skomentuj
2010-11-25 13:34:36 | 83.12.187.* | trasz
@mxmxm: Właściwie dowolnych poza najprostszym uwierzytelnieniem plaintekstowym
hasłem. Byle digest w HTTP czy uwierzytelnienie Kerberosem wymagają przechowywania
niehashowanych haseł. skomentuj
2010-11-25 13:47:00 | 87.205.172.* | Leopold Lis
@trasz

No błagam, jest chyba różnica między "PFHGJJTU", a "p.i.e.r.d.y.l.i.a.r.d" ?
Gdy stosuje się "salt" do hasła albo koduje kilka razy, odkodowanie nie jest taką
prostą sztuczką. skomentuj
2010-11-25 14:14:19 | 193.41.230.* | Pierre do Le Perra
@trasz
haslo przechowywane bez szyfrowania jest oczywista luka: chocby dlatego, ze jakis
zezlony pracownik odchodzac moze sobie pozyczyc dane i je komus sprzedac...
jesli stosujesz metode "zabezpieczenia" wymagajaca przechowania hasla czystym
tekstem, to znaczy, ze to Twoje zabezpieczenie jest przesunieciem dziury w
bezpieczenstwie w inne miejsce :) skomentuj
2010-11-25 15:05:32 | 46.112.93.* | zyx
@trash: Piszesz o digest i kerberesie. Jakoś nie wiedzę, aby te metody używało
Allegro. To jest klasyczna strona internetowa z hasłem i loginem przesyłanymi przez
formularz.
Jeśli istnieje niewielka grupa użytkowników, którzy korzystają z Kerberosa, to co za
problem przydzielić oddzielny mechanizm uwierzytelniania? skomentuj
2010-11-25 16:02:18 | 83.12.187.* | trasz
@PIerre do Le Perra: Doczytaj, czym różni się szyfrowanie symetryczne od hashowania;
bez tego będzie ci trochę trudno zrozumieć temat rozmowy. Poza tym zapoznaj się, jak
działają metody uwierzytelniania bardziej skomplikowane niż plaintekstowe hasło.

@zyx: Oczywiście. Ale nazwanie faktu przechowywania niezahashowanych haseł
"oczywistą luką" mocno rozmija się z rzeczywistością. skomentuj
2010-11-25 16:11:46 | 193.41.230.* | Pierre do Le Perra
@trasz:
Dobra - nieuwaznie czytalem Twojego posta, wymieniasz szyfrowanie symetryczne :)
Aczkolwiek zdaje sie, ze ktos kto o tym zaczal, mowil o kompletnym braku szyfrowania
(chyba ze znow cos wzialem przez domniemanie?). Zgadza sie, ze zaszyfrowane
symetrycznie nie jest "oczywista luka", jest natomiast taka przechowanie hasel
otwartym tekstem - co zostalo Allegro zarzucone.

Teraz zadanie dla Ciebie: wytlumacz niewtajemniczonym, czemu szyfrowanie symetryczne
moze sie objawic jakby nie bylo szyfrowania (ujawnieniem hasla), gdzie jest tu
przewaga nad haslem przechowywanym otwartym tekstem, gdzie bedzie przewaga
hashowania. skomentuj
2010-11-25 16:53:18 | 83.12.187.* | trasz
@Pierre do le Perra: Następnym razem po prostu zwrócę uwagę autorowi prywatnym
mailem. skomentuj
2010-11-26 10:22:30 | 86.145.14.* | varg
@trasz ""Właściwie dowolnych poza najprostszym uwierzytelnieniem plaintekstowym
hasłem. Byle digest w HTTP czy uwierzytelnienie Kerberosem wymagają przechowywania
niehashowanych haseł."

A masz na to jakieś wsparcie? Najczęściej nadal wystarczy ci przechowanie skrótu -
tylko że z innym saltem. Dla HTTP Digest jest to md5(user:realm:password) zamiast
md5(random_salt:password). To że niektóre implementacje wymagają plaintextu to ich
"oczywisty błąd" skomentuj
2010-11-27 19:03:25 | 88.220.86.* | czytacz
Re: Allegro: znów wtopa z bezpieczeństwem naszych danych [1]
HA! Ostatnim razem zmieniłem hasło i przy okazji wykasowałem z moich danych nazwisko
panieńskie matki (bo i po co tam ono?), niestety po jakimś czasie zapomniałem hasła
(nowe i skomplikowane było), aby je odzyskać musiałem podać w formularzu nazwisko
panieńskie matki, które wykasowałem i system zwracał błąd. Admini stwierdzili ze nie
ma innego sposobu dostania się do konta i zmiany hasła, co więcej, gdy napisałem, że
rezygnuje z ich usług i kończę przygodę z Allegro, okazało się, że do zamknięcia
konta potrzebuję co? - nazwisko panieńskie mojej matki. Konto jest, moich danych nie
chcą wykasować i konta zamknąć, a ja nie mogę go używać - ot i całe Allegro. skomentuj
2010-11-28 10:13:36 | *.*.*.* | olgierd
Zwracanie się do mnie z prywatnm mailem nie ma sensu ;-) i tak tego nie rozumiem -- w
kwestiach technicznych polegam po prostu na innych opiniach. Na komentarzach
wyrażonych tutaj -- także! skomentuj
2010-11-29 12:57:36 | 193.41.230.* | Pierre do Le Perra
@trasz
> @Pierre do le Perra: Następnym razem po prostu zwrócę uwagę
> autorowi prywatnym mailem.

ej, ale to nie byl sarkazm, ani wypowiedz imbecyla nie umiejacego sie z bledu wycofac
lub udajacego, ze cos wie:
prosilem, zebys opisal, bo wielu tutaj czytajacych sie nie zna, a Ty cos najwyrazniej
wiesz wiecej - napisz i tyle. skomentuj
2013-06-10 23:18:56 | *.*.*.* | zegarki.allegro
Re: Allegro: znów wtopa z bezpieczeństwem naszych danych [0]
no bywa z allegro różnie, ale fakt, że sprzedawać gdzieś trzeba i trzeba tolerować
niektóre błędy, niedociągnięcia skomentuj

bezczelna reklama:

Firma Prawnicza Lege Artis
www.LegeArtis.org

O mnie
Olgierd Rudak
Jesteś na stronie czasopisma internetowego "Lege Artis", które ukazywało się od 17 listopada 2006 r. do 16 maja 2014 r.
Najnowsze komentarze
2017-10-13 06:09
Gina Acampora:
O ochronie wizerunku złodziei
Nazywam się Gina Acampora i rozmawiam dzisiaj jako najszczęśliwszy człowiek na całym dzikim[...]
2017-10-10 01:40
jance:
Uważajcie na oszustów sprzedających samochody z UK
Witam wszystkich, Nazywam się Ketesha Frank, jestem z Alabama, Stanów Zjednoczonych, jestem tu,[...]
2017-10-05 19:48
ArturZpl:
Rekordowe odszkodowanie za spam
Teraz to też my będziemy mogli starać się o odszkodowanie. Szukając informacji na ten temat -[...]
2017-10-02 10:03
CARO CATO:
Uważajcie na oszustów sprzedających samochody z UK
¿Necesita dinero para iniciar un negocio propio ...? ¿Necesita dinero también pagar[...]
2017-09-04 13:15
Walls:
Uważajcie na oszustów sprzedających samochody z UK
Dobry dzień,   Jesteśmy prawowitym, renomowanym rządowym pożyczkodawcą. Jesteśmy firma[...]