Nawet tak zaufana marka jak Allegro wciąż miewa problemy z bezpieczeństwem. Aż trudno uwierzyć!
| Warto przeczytać: | |
Firefox w tarapatach? Już wkrótce Google przestanie finansować! |
Choć specjaliści od sieciowego bezpieczeństwa dwoją się i troją, by zapewnić nam jak największy komfort korzystania z internetowych usług, wciąż należy podchodzić do nich z ograniczonym zaufaniem. Najlepszym przykładem jest incydent z Allegro, który na swoich łamach opisał niebezpiecznik.pl.
Jeden z czytelników serwisu poinformował, że przez około godzinę nie byly zabezpieczone nasze dane, m.in. hasło i mógł je podejrzeć każdy, kto w przeciągu ostatnich 90 dni dokonywał z nami jakiejkolwiek transakcji. Głos w tej sprawie - nieco uspokajający - zabrało samo Allegro.
Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.
Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych.
Ważną informacją jest fakt, że dostęp do WebAPI allegro nie jest publiczny. Aby móc korzystać z tej usługi potrzebny jest klucz dostępu wystawiany przez serwis allegro. Oznacza to, iż doskonale wiemy kim są odbiorcy usługi. Każde logowanie do webAPI jest rejestrowane.
Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błedu. Niemniej ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników. Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.
Teraz wszystko jest już na szczęście w porządku. Zainteresowanych wpadką i szczegółami błędu odsyłamy na łamy niebezpiecznika.
Źródło: Niebezpiecznik
| Polecamy artykuły: | ||
| Fotogaleria: obudowa jakiej jeszcze nie było | TOP-10: Monitory | G eForce GTX 580 - najszybsza w rodzinie |
 |  |  |
Komentarze
18naprawdę to powiedział specjalista z Allegro?
LOL ;)
to sie zalogowalem ehh na allegro po aktualizacji z 23.11.10 nie mozliwe
To prawda !
Serwis robi to co uważa za dobre, lub to co podejrzał u konkurencji - kompletnie nie licząc się ze zdaniem swoich użytkowników. Administracja nie zapyta ludzi czy im takie zmiany pasują... Brakuje jeszcze modnego zwrotu: "Jak nie podoba to wpie%^&&^"
Sukces polega na zaspokojeniu klienta, dając mu to "co zechce" Inaczej mówiąc liczyć się ze zdaniem. Usprawnić a nie utrudnić.
żeby nie byc gołosłownym, oto jak zostało miło przyjęte nowe zmiany w Allego http://allegro.pl/phorum/read.php?f=300&i=57596&t=57596