21:55
6/12/2011

Na Wykopie pojawił się ciekawy wątek z cyklu AMA (Ask Me Anything). Na pytania odpowiada były pracownik znanego polskiego portalu aukcyjnego — Allegro.pl

Allegro trzyma hasła w plaintext

Najciekawsza (z punktu widzenia bezpieczeństwa) wypowiedź byłego pracownika to:

AMA - były pracownik znanego polskiego portalu aukcyjnego - Wykop.pl

AMA - były pracownik znanego polskiego portalu aukcyjnego odpowiada na pytania

Komentarz ten zdaje się potwierdzać nasze wcześniejsze doniesienia, że Allegro trzyma hasła użytkowników w tekście jawnym. Przypomnijmy, że zazwyczaj tłumaczy się to tym, że brak szyfrowania/hashowania haseł umożliwa Allegro “wykrywanie fałszywych kont” — biznesowo jest to jakieś uzasadnienie, ale czy na pewno nie ma lepszych sposobów na wykrywanie multikont? I co z internautami, którzy tworzą multikonta z różnymi hasłami? ;)

Na marginesie, ówczesny rzecznik prasowy – Patryk Tryzubiak – na nasze zapytanie w sprawie braku szyfrowania/hashowania haseł odpowiedział:

Hasła są zabezpieczone i zaszyfrowane, nie są przechowywane w czystym formacie tekstowym.

Hmm…

Brak szyfrowania haseł nie stanowi większego problemu dopóki baza Allegro nie zostanie opublikowana w internecie ( np. ktoś znajdzie SQL injection, kolejny błąd w API Allegro, albo po prostu wyniesie bazę z firmy). O wiele bardziej niepokojący jest jednak fakt, że pracownicy (mamy nadzieję, że tylko nieliczni) wykorzystują z bazy serwisu Allegro zawierającej nasze dane do prywatnych celów… jeśli oczywiście wierzyć tajemniczemu użytkownikowi Wykopu.

Allegro dostęp do danych klientów

Allegro pozwala na nieuzasadniony dostęp do danych klientów

Zemsta pracownika?

Tajemniczy pracownik przyznał, że został zwolniony — ponoć jakiś czas temu. Być może wątek na Wykopie to zemsta? Miejmy nadzieję, że od zwolnienia autora wątku na Wykopie trochę w Allegro się zmieniło. W logach Niebezpiecznika widzimy dużo wejść z adresów IP należących do Allegro — być może ktoś z Was chciałby napisać jakiś anonimowy komentarz w tej sprawie? ;-)

P.S. Przypominamy niedawną ankietę, mówiącą iż 88% pracowników działów IT wyraziło chęć wykradzenia firmowych danych w momencie zwolnienia z pracy.

Link do wątku podesłał Maciej K.

Aktualizacja 07.12.2011, 12:41
Allegro podesłało nam oficjalne oświadczenie w powyższej sprawie. Możecie je przeczytać tutaj. Wstawki o PCI DSS nie rozumiemy, co ma piernik (platnosci.pl) do wiatraka (allegro.pl)?

Aktualizacja 07.12.2011, 19.30
Po odpowiedzi rzeczniczki Allegro kolejny z internautów ujawnia swoje informacje na temat przechowywania przez Allegro haseł w plaintext:

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

104 komentarzy

Dodaj komentarz
  1. Z tego samego oświadczenia rzecznika (też na waszej stronie):

    “W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników Allegro”

    Więc czy jest o co robić wielkie halo ?

    • “nie powinny być dostępne dla użytkowników ani *pracowników Allegro*” — no niby nie napisał “nie są”, a “nie powinny” ;-)

    • Skoro nie są dostępne dla użytkowników i pracowników Allegro, to dla kogo są dostępne, a jeśli dla nikogo, to po co się je przechowuje? I nie znam kontekstu, ale na podstawie wycinka mogę domyślić się, że chodzi o możliwość logowania się na konta użytkowników przez adminów, a więc chyba jednak są dostępne dla pracowników Allegro.

    • Zaraz zaraz, czy jako programiści/admini oni naprawdę potrzebują hasła by dostać się do konta. Przecież mogą mieć specjalne API i logować się na kogo tylko zechcą bez hasła! Albo przy pomocy specjalnego hasła serwisowego… powyższe jest prawdziwe także do każdego forum internetowego… co najwyżej jakiś admin zrobi za kogoś zakupy. Jedyny sens posiadania haseł nieszyfrowanych jest możliwość dobierania się do innych serwisów…
      Zliczyć jednakowe hasła można także w postaci zakodowanej, chyba ze każde jest solone unikatowym kluczem…

  2. ze tez sie UOKiK nie zajmie tym A ale moze zajmie po mojej skromnej interwencji zaniedlugo pewnie ..

    • Jeśli już ktoś miałby się tym zająć to GIODO a nie UOKiK. Co ma UOKiK do systemów informatycznych?

  3. Zaznaczę, że AMA nie jest zweryfikowane przez administracje. Biorąc pod uwagę start nowego serwisu aukcyjnego (adresu nie pamiętam, coś w domenie *.to) może to być sprytny zabieg działu public relations

    • Chodzi o kupuje.to. Czyli portal aukcyjny wykorzystujący do działania facebook’a. Moim zdaniem strzał w dziesiątkę (nie, nie jestem od ich PR, sam dopiero dzisiaj znalazłem ich stronę – uważam tak tylko dlatego, że pomysł jest bardzo prosty, a jednocześnie trafny i może przynieść zyski, spore zyski).

    • Nie dziwie mu się, że nie chce się “ujawnić/zweryfikować”. Wykop przecież mocno współpracuje z Grupą Allegro :> A jak Allegro się dowie kim jest owy jegomość, to będzie miał ciepło — a dowiedzieć się pewnie prędzej czy później dowie, w AMA jest dużo informacji na jego temat (chyba, że specjalnie część jest fałszywa ;)

    • O serwisie *.to słyszałem już kilka miesięcy temu, więc nie sądze by to był powód.

    • ów, nie owy

  4. Niekoniecznie sa nieszyfrowane. Moga rownie dobrze porownywac hashe w bazie jezeli maja tylko algorytm typu sha1(pass), bez dodawania chociazby id do skrotu.
    Am I right?

    • Napisał, że hasła są prezentowane w panelu administracyjnym w tabelce z danymi użytkowników. Dodatkowo ograniczenie na 16 znaków jest po to, żeby się całe wyświetlało.

      Napisał również, że “powinni zrobić specjalny link do konta użytkownika z panelu administratora”, co sugeruje, że administrator loguje się na konto użytkownika normalnie – przez wpisanie loginu i hasła *użytkownika*.

    • To jest bzdura, większość ACL udostępnia funkcje ForceLogin z poziomu aplikacji, do logowania się np. administratorów bez hasła. Konieczność znania loginów by owi administratorzy mogli się logować w celu pomocy jest niedorzeczna. Tak samo jeśli są te same hasła, hash może wyglądać tak samo

    • @milosz allegro napisal gosciu w kilka dni w php. od tamtego czasu nie dotyka sie coreowego kodu tylko dopisuje nowe funkcje lub zmienia grafike. to niestety tak dziala. a kod zrodlowy allegro kiedys przewijal sie przez internet nawet ;] hasla tez ;]

  5. No i autor AMA usunął konto…

  6. No i autor AMA swoje konto skasował, teraz ciekawe czy się wystraszył czy nie był tym za kogo się podaje ;)

    • To było konto założone tylko do tego AMA.

  7. Moze serwis uzywa hashy a PA stoi tylko wewnatrz firmy z bogatsza baza ale i tak jest to malo logiczne bo dziala przypomnienie hasla no i sama tresc hasla nie jest potrzebna adminom by znalesc konta z takim samym haslem. Tak czy siak porazka.

  8. Albo mi się wydaje, albo “zabezpieczone i zaszyfrowane” nie znaczy “zahashowane”, tylko tyle, co rzecznik stwierdził dalej, czyli “nie są przechowywane w czystym formacie tekstowym”. Mogą hasła pociągnąć ROT13 i już nie będzie to plaintext, będą zabezpieczone i zaszyfrowane…

    • zaszyfrowane może… ale zabezpieczone? :-)

    • no tak, przecież te hasła mają głęboko w d… przepraszam, “w głębokim ukryciu”, jak to mówią informatycy xD

    • Moim zdaniem ROT13 nie szyfruje, tylko koduje.

    • Dobrze zrealizowane szyfrowanie nie jest niebezpieczne. Nie ma co się też burzyć, że ktoś hasło pozna – właściciel serwisu przecież je zna w momencie jego ustanawiania więc nie popadajmy w paranoję.

  9. To dla mnie nie nowość. Mam znajomego, który był adminem baz danych w Allegro, mówił dokładnie to samo – Allegro trzyma hasła użytkowników w czystym tekście…

    • Ciekawa koncepcja, tyko nigdy żaden administrator baz danych z Allegro nie odszedł.

  10. Na forum Allegro pojawił się temat. http://allegro.pl/phorum/read.php?f=298&i=1288262&t=1288262

    Jeden z forumowiczów, użytkownik sebaa z licznikiem postów 13104 napisał m.in. “nie wiem jak teraz i nie wiem ilu ale kiedys czesc pracownikow na pewno miala dostep do hasel. chyba wszyscy mieli tez dostep do nazwiska panienskiego, ktore umozliwia zmiane hasla. cos sie zmienialo w poprzednim roku odnosnie tego nazwiska ale odnosnie hasel juz nie bo admin przemilczal pytanie dotyczace tego.”

    Pozdrawiam.

  11. “że brak szyfrowania/hashowania haseł umożliwa im “wykrywanie fałszywych kont” — biznesowo jest to jakieś uzasadnienie ;)”

    rozumiem że to ironia, może nie znam się na kryptografii ale logika podpowiada mi że hash będzie taki sam dla okreslonego ciągu znaków i nie problem wybrać z bazy użytkowników o tym samym hashu…

    • O tzw. soleniu hasha kolega nie słyszał? (sól ma być unikalna per user, abstrahując już od tego, że zamiast hashy lepszy bcrypt…)

    • owszem, słyszał, ale mówimy o wykrywaniu multikont gdzie salt to kompletnie uniemożliwi, a hash zapewni trochę więcej bezpieczeństwa niż plaintext

    • Chyba nawet niesolone hashe są lepsze niż plain.
      Ciekawi mnie jednak w jaki sposób hasło może świadczyć o fałszywym koncie.
      Jeżeli mamy:
      usera1 z hasłem “hasło123456”
      usera2 z hasłem “12.12.2012”
      to jak na podstawie tych danych określić fikcyjność konta?

    • @zz1986: Kolega poza nagłówkiem coś przeczytał? ;)

    • @Maciek
      Przeczytał co widać po pytaniu, bo przecież w nagłówku nie ma nic o tym.
      Tak w ogóle to mam sile wrażenie, że artykuł został edytowany po tym jak napisałem komentarz(albo przynajmniej, po tym jak go pierwszy raz przeczytałem).

  12. Można przechowywać chociażby (CRC + SALT) dla hasła, by móc sprawdzić czy się powtarza, a żeby admin go nie znał

  13. Poki urzednicy im sie do pupy nie dobiora (a mogliby) to niewiele sie zmieni, zapewnienia pana rzecznika z allegro tez na niewiele sie zdaja, co widac w tym watku – to co mowil a co stwierdzil ex pracownik – dwie rozne rzeczy. Prawdy to sie jedynie dowiemy, jak PK zostanie poproszony o wystapienie w roli bieglego, na wniosek jakiegos urzednika, no ale wszystko zalezy od tego czy za niedlugo mamy jakies wybory, bo bez tego nikt tylka nie ruszy.

  14. Too big to fail…

  15. Hm, nie wygląda to jak wypowiedź osoby która się zna.

    Nie spotkałem się z czymś takim, że admin musi widzieć hasło, czy podawać swoje, żeby zalogować się do czyjegoś konta. Firmy przeważnie robią sobie backdoory, co jest uzasadnione w przypadku pomocy userom.

    Treść brzmi (obu ramek) jak bardzo zły dowcip gimnazjalisty…

    • Zwykle pewnie tak jest. Ale nie zawsze. Sam pracowałem w firmie, w której nie było pełnego dostępu do konta użytkownika i trzeba było się mu zalogować, aby zobaczyć co widzi (by mu np. pomóc). A hasła były właśnie w plaintext (choć struktura bazy świadczyła, że ktoś kiedyś rozważał kodowanie haseł).

      Tak więc zdarzają się takie przypadki w firmach oferujących usługi w internecie i kto wie czy Allegro też tak nie ma.

  16. Czas przejść na ebay ; ] ?

    • A myslisz że tam mają lepiej?
      trawka u sasiada zawsze bardziej zielona? :)

  17. NOCniki maja dostep do hasel w jawnym tekscie oraz do danych z konta od wielu lat.

    Tak wiec ekhm “news” to to nie jest niestety.

  18. Czy Allegro w związku z tym, że operuje transakcjami pieniężnymi (PayU) nie podlega kontroli jakiś regulatorów, np. KNF?
    Banki, operatorzy kart płatniczych czy inne instytucje finansowe muszą spełnić wymogi nakładane przez takiego regulatora jak np. hasła nie mogą być przechowywane w plaintext itd
    Jak to jest z Allegro?

    • KNF swoją drogą, ale to jest instytucja finansowa która kontroluje finanse a nie bezpieczeństwo. Bezpieczeństwem danych kartowych zajmuje się dokument PCI DSS i wymagają tego Visa i MasterCard.

    • afair grupa allegro ostatnio poszukiwala pracownikow ze znajomoscia pci dss.

    • PCI DSS to czysta męka we wdrażaniu ;-) Ale rzeczywiście, ktoś kto uzyskuje certyfikację PCI DSS to ma security na kosmicznym wręcz poziomie.

    • Nie zgodzę się ;) popatrz na pci dss pod katem testów bezpieczeństwa – jaka dowolność w głębokości/doborze testow. Maja być testy przeprowadzone – jakie? To nie zawsze jest zdefiniowane wiec bardzo zależy od zespołu testerskiego.

    • Piotrze, testów i audytów nie robisz sam. W polsce Immusec robi przygotowanie do certyfikacji, jeżeli nie spełniasz choćby jednego punktu, to Ciebie nie puszczą na certyfikacje. A po tym i tak przyjeżdża firma z zagranicy i certyfikuje ;)

      Testy są na prawdę bardzo szczegółowe pod każdym kontem (systemy, sieci, aplikacje, ludzie).

    • Chyba sie nie rozumiemy. Audytor (większość polskich firm bierze go Irlandii ;) ma obowiązek sprawdzić czy był wykonany test bezpieczeństwa (webaplikacji i sieci) – jeden z wymogów pci dss. Jest raport, jest ok – niestety nikt nie wgryza się w to jak dokładnie wyglądały testy (w przypadku webaplikacji jest mowa chociaż o klasach podatnosci – w przypadku testow penetracyjnych sieci/infrastruktury jest tylko wymaganie: maja być – ani słowa o szczegółach itp.)

    • Nawet jeżeli na papierze spełniają różne normy. To PCI tyczy się tylko obrotu kartami itp. Poza tym co innego środowisko przygotowane na test przez kogoś kto się zna, a co innego rzeczywistość. Audytorzy bywają rozni. O ile pamiętam reszta sieci może korzystać z tokenow i już nie będą testować.

    • Allegro nie zajmuje się transakcjami finansowymi, do tego istnieje osobna spółka PayU. I jest ona kontrolowana na prawo i lewo, oraz posiada odpowiednie certyfikaty, m.in. PCI DSS

    • no niestety, cała infrastruktura Allegro była zmieniana pod standard PCI DSS.

      Nie jest to tylko do systemów kartowych, ale całej infrastruktury, całej… całej…

    • @Miko: popieraj swoje wypowiedzi jakimiś dowodami namacalnymi, jeśli da radę — skąd ta informacja, że “cała infrastruktura Allegro była zmieniana pod standard PCI DSS”? ;)

    • @Zen, myślałem, że całe allegro (+ PayU) “konwertowaliście” na zgodne z PCI DSS

    • Nie jest to tajemnicą, mówił o tym Wojtek Śronek na PLNOG: infrastruktura PayU została wydzielona fizycznie i przygotowana zgodnie z PCI DSS. Oczywiście wszelkie wymogi bezpieczeństwa fizycznego również zostały spełnione.

    • Zen – Czyli grupa Allegro – czyt. PayU ma PCI DSS. Samo allegro w tym zakresie niech będzie odseparowane od certyfikowanej sieci analogicznie do komputera z 2 sieciówkami lub firewalla. Generalizowanie przez rzecznika prasowego tego osiągnięcia na sam portal Allegro jest chyba nadużyciem? To tak jak bym ja zintegrował swoją stronę i PayU, a potem twierdził, że grupa jaipayu ma PCI DSS to mamy 3+ punkty do zajebistości ale wcale nie świadczyło by to o dobrych praktykach mojej strony i jej bezpieczeństwie.

    • Rzecznik wyraził się bardzo jasno: poziom bezpieczeństwa w Grupie stoi na wysokim poziomie, a przykładem jest PCI DSS w serwisie platnosci.pl
      Jako były pracownik, obiektywnie mogę stwierdzić, że rzeczywiście bezpieczeństwo jest na niezłym poziomie. Wewnętrzny dział security jest naprawdę mocny i w GA niedobrych praktyk nie ma miejsca. Jeśli chodzi o bezpieczeństwo baz danych, to są one pos szczególnym, żeby nie powiedzieć paranoicznym nadzorem.

    • Allegro ma jakąś traumę z hasłami.
      Właśnie sobie oglądałem http://www.data.proidea.org.pl/plnog/7edycja/materialy/prezentacje/Wojciech_Sronek_Norma_bezpieczenstwa_PCI-DSS.pdf

      I nie wiem czemu rozbawiła mnie strona 28.

    • Co do strony 28, to przykładem jest RANCID, który komunikuje się z CVS (nic innego ztcw nie umie). To hasło trzeba gdzieś przechować, a na dodatek leci przecież plain textem. WYdaje mi się, że nie ma w tym nic dziwnego. Jako ciekawostkę podam, że w Wielkich Korporacjach zdarzają się systemu chodzące ciągle na Windows NT, bez żadnego wsparcia producenta. Co z takim bałaganem zrobić?

    • Zen -Uważam, że zależy od impactu. Jeżeli mały to wyłączyć, a jeżeli duży to aktualizować/migrować (może to być lepszą decyzją niż próba zabezpieczenia NT 3.1 napisanego w C,C++ i Assemblerze na poziomie przed rokiem 1993 i NT 4.0 z 1996).
      Może też tak być, że zależy od płaszczyzny ataku.

  19. Święta się zbliżają i trzeba zwrócić na siebie uwagę. Nie ważne co się mówi, ważne, że się mówi.

  20. Zupełnie pomijajac co pisze – czy ktoś zweryfikował cyz faktycznie jest to były pracownik? ;)

    • Różnica jest, tylko nie wiadomo, czy wiarygodna: “Od tego czasu serwis wdrożył kolejne, najwyższe standardy zabezpieczenia danych swoich klientów w efekcie czego podobne sytuacje nie będą miały powtórzenia w przyszłości.”

      To może częściowo tłumaczyć rozbieżności między wersją pracownika a wersją rzecznik. Bohater afery prawdopodobnie nie został zwolniony wczoraj, tylko kawał czasu temu. Pracował kiedy jeszcze mieli plain-text i inne “ciekawe” sposoby zarządzania. Rzecznik twierdzi, że TERAZ jest inaczej i bezpiecznie.

      Zatem EOT, pod warunkiem, że w Allegro nie kłamią :-)

  21. Pojawiło się oficjalne stanowisko w tej sprawie http://antyweb.pl/odpowiedz-allegro-na-wczorajszy-wpis-bylego-pracownika-na-wykop-pl/

    • Popatrz na aktualizacje do naszego posta. Wyglada na to, ze to co nam podesłano jest obszerniejsze (1 akapit) niż to co dostał Antyweb.

    • Wybacz, nie zauważyłem aktualizacji

    • @Piotr: Pierwszy akapit jest co prawda obszerniejszy u Was, ale nie posiada z kolei dość ciekawego zapisu, który znajduje się w oświadczeniu dla Antyweb:

      “Nie wiemy, kim jest osoba wypowiadająca się, jeśli faktycznie jest to pracownik, GA, jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa.”

    • na antyweb masz dodatkowo zaprzeczenie:
      “Nie wiemy, kim jest osoba wypowiadająca się, jeśli faktycznie jest to pracownik, GA, jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa.”

    • dodatkowo nie rozumiem, jak jedno hasło raz jest przechowywane w jednym obszarze jako plaintext, a w innym jako zaszyfrowane… Dla mnie to ściema…

    • Śmiechłem motzno z tego, że plantosci.pl otrzymał certyfikat pci dss. Luki typu XSS są ich najmniejszym problemem… Ciekawe ile zapłacili za ten certyfikat.

  22. Dobra to teraz ja trochę z innej mańki. Sam kiedyś generowałem takie prowokacje. Nie wiem czy to prawda czy fałsz ale dam Wam inną ciekawostkę. Większość z Was pewnie nie kojarzy gry MMORPG Knight Online. Z tego co mi wiadomo był to projekt studencki wykonany przez Azjatów zwanych dalej “skośnookimi” (bez obrazy, no offence). Potem kiedy ktoś dostrzegł potencjał stworzono korporacje i zaczęli rozbudowywać grę, wypuszczać betę i tak dalej. Wszystko było spoko do czasu aż ktoś poczuł się niedowartościowany i odszedł z korporacji wynosząc bazę danych, dokumentacje oraz binarki i kody źródłowe aplikacji (klienta i serwera). Te rzeczy można znaleźć w sieci jak ktoś usilnie się postara. Ponadto z czasem powyciekały nowsze wersje binarek. Prywatni developerzy mający dostęp do tych plików doszli do wniosku, że jest masa błędów w nich. Powstała jedna wielka familia, która zaczęła fix’ować bugi. I tutaj ciekawostka. Hasła kont graczy były w zwykłym plain/text. Odpowiednio modyfikując pakiety do serwera można było logować się na każde konto i je okradać (nawet na officialu). “Hackerzy” zrobili fortunę na tym. Wyobraźcie sobie, że kilka bajtów w bazie danych było warte +1k $ za jeden “item”. Potem wprowadzono jakieś pseudozabezpieczenia typu możesz grać tylko z jednego kraju i blokada multikont typu nie może być za wiele połączeń z danego IP (bat na kafejki i LAN’y). Niektóre serwery były dostępne tylko dla anglojęzycznych graczy (bez Tureckich – bo to plaga w tej grze). To nie zmieniło nic bo istnieje coś takiego jak proxy do tunelowania połączenia :) Co do samych zabezpieczeń to był one bardzo marne bo h4x0r z niskiej półki mógł obejść zabezpieczenia (czyt. zcrackować HackShield’a, XTrap aka XCrap i inne poboczne aplikacje). Część rzeczy była po stronie klienta walidowana co było wielkim błędem. Domyślcie się sami dlaczego :) Z tego co mi teraz wiadomo to jest jedna firma, która się specjalizuje produkcją serwera dla prywatnych “graczy” i oni już zakładają serwery co przekłada się na ich bilans konta :) Dla ogarniętych typów -> stare źródła + debugger = tworzenie cuda, który można opylić za niezły hajs. Wyobraźcie sobie jeden patch warty 300$ * kilka serwerów. Z resztą pamiętam do dziś jak zaraportowałem buga dotyczącego launchera i wyrwałem banika do 2028 roku na oficjalnym forum. Był taki motyw, że mieli DDoS’a (nie pytajcie skąd) i akurat celem ataku był “login server” to ludzie nie mogli wbić do gry. Oczywiście przycisk start był nieaktywny gdy nie udało się połączyć z wyżej wymienionym serwerem. Nie zmienia to faktu, że dało się go kliknąć przez zewnętrzną aplikację (ot niedopatrzenie kolejne ze strony programistów). Ot prosty kod, który to umożliwiał. Dla niedowiarków i chcących dowiedzieć się więcej proszę o kontakt :) Zobaczycie, że żaden to fake i spreparowane dane hihi.

  23. To zdaje się, wiadomo już od dawna?
    Czy za każdym razem jak wyjdzie jakaś afera z hasłami to będziemy to odgrzewać? Nie ufajcie Allegro, kiedyś trzymali nawet historię zmian haseł.

    • nadal trzymają…

  24. W takiej formie rzeczywiście występowały w kliku obszarach serwisu, jednak nie powinny były być dostępne dla użytkowników ani pracowników Allegro. Od tego czasu serwis wdrożył bleblebleble – porazka ; d

  25. Wiele kwestii jest faktycznie prawdą. Allegro przerzuciło się na zyski zyski, zyski. Portal rozwija baaardzo powoli a właśnie przez Allegro cała sprzedaż Online w Polsce leży i kwiczy!

  26. Serwis Allegro wdrożył PCI DSS czy serwis Grupy Allegro (płatności, PayU) bo musiał? :)
    Naciągana ta wypowiedź Pani rzecznik.

    • PCI DSS został wdrożony w PayU – dotyczy wszystkich ich produktów. allegro.pl nie posiada takowego certyfikatu, bo i po co? Wszelkie transakcje finansowe są przecież obsługiwane przez PayU. A powody wdrożenia są naturalne – zapewnienie bezpieczeństwa użytkownikom. To nie jest kwestia przymusu, tylko wyboru, GA od lat koncentruje się również na zwiększaniu poziomu wiedzy nt. bezpieczeństwa transakcji internetowych. Polecam materiał z PLNOGA – http://bit.ly/th5ZD3 Autorem jest jeden z architektów implementacji PCI w GA.
      Co do meritum, czyli AMA, autor plecie chwilami okropne bzdury, szczególnie wypowiadając się nt. technicznych aspektów, o których ma niewielkie pojęcie.

  27. Bueh, w tym oświadczeniu sami się przyznali, że hasła są “zaszyfrowane” (no przecież zaszyfrowane != plaintext, bueh…), a przy poprzedniej wpadce z API “NIE POWINNY były być dostępne”. Czyli że nie robią skrótów, tylko sobie całe hasła tak czy inaczej zakodowane przechowują…

    Faillegro…

  28. Tak dzisiaj znajomy mnie zaczepił i trochę porozmawialiśmy na temat sprzętów dostępnych na Allegro – kupił Pendrive z Malware-m. W toku dalszej dyskusji doszedł do wniosku że może kupi Serwer albo jakiś tablet “China” i poszuka jakichś ciekawostek. Albo używanego UTM – a …i tu rechotaliśmy że niby byłaby “Ochrona Brzegowa” z Wkładką :-) . Co do podróbek to się nie wypowiadam ale powinien być jakiś mechanizm weryfikujący takie rzeczy ( sprzedających) …

  29. GDZIE SĄ DOWODY?? Obaj: tzw.były pracownik oraz rzecznik tylko piszą. Ani jednej fotki ekranu na poparcie swoich słów. Tak to ja mogę pisać, że mam w szafie tresowanego słonia.

    • Kupiłeś go na Allegro?

    • Znalazł w bazie, bo mu uszy wystawały.

  30. Dowód? Powiązanie 2 lata temu mojego konta junior z kontem mojej matki – sam jej zakładałem, na takie same hasło. Jeśli to by był coś z solą…

  31. @Aleksiej: na alibabie, bo taniej ;-)
    @Mikl: OK, ale pokaż dowód, że tak było – masz screenshota?

  32. A sprawdzał ktoś jak przebiega procedura odzyskania hasła w allegro? Chciałem to zrobić ale mi wyskoczyło, że muszę podać nazwisko Panieńskie matki i skan dowodu (a tego na pewno nie zrobię). Konto mam zweryfikowane, więc zmieniłem hasło na takie, że jak ktoś z allegro przeczyta to … ;) I faktem jest, że długość hasła to max. 16 znaków – czy to nie dziwne w tych czasach?

  33. Tak się składa, że mam styczność teraz z pewną firmą, która kiedyś robiła coś dla alledrogo. Pogłoski o tym, że hasła są w plaintekście to oczywiście… prawda. Może niektórym ciężko w to uwierzyć, ale z tego, co wiem, to aby to zmienić, trzebaby budować lwią część ich systemów od nowa…

  34. No ale przecież Home.pl też nie szyfruje haseł. Kiedy rozmawiając z infolinią dowiedziałem się że mogę się zweryfikować przez podanie swojego hasła (albo drogą mailową) – to mnie zatkało z wrażenia.

    • Trafne spostrzeżenie, ja musiałem podawać drugi i ostatni znak mojego hasła.

    • Co do pierwszej i ostatniej litery hasła, to takie dane mogą mieć (wycinają np. 1 3 5 i 7 znak hasła i zapisują do weryfikacji). Pełne hasło jest pewnie hashowane.

  35. domena.pl też ma hasła w plaintext.

  36. Przeczytałam komentarz z aktualizacji nr 2 kilka razy i czy to ja jestem przewrażliwiona, czy z niego wynika, że development ma dostęp do danych produkcyjnych O.O

  37. ja tam zawsze zakladalem ze albo plaintext albo i tak maja wglad w moje haslo wiec z premedytacja jako haslo ustawilem pewien komunikat/przekaz dla czytajacego; widac dziala bo od wielu lat nie chca mi odwiesic konta z ponad setka pozytywow i zadnym negatywem

  38. Na litość boską! HASEŁ SIĘ NIE SZYFRUJE !!!
    zaszyfrowane = plaintext
    i tyle w temacie – sami się przyznali że mają nas …

  39. Pomijając już fakt, że próżno szukać na stronach Allegro informacji kto jest ich rzecznikiem (i że się ta osoba zmieniła), to w zasadzie rzecznik nie skłamał (znów pomijając różne wersje wypowiedzi plus ich składnia i wtrącenie opisu innego serwisu grupy), ale nie powiedział też całej prawdy.
    Bo hasła użyszkodników są hashowane w bazie, ale inne pole tej samej bazy zawiera to samo hasło w formie jawnego tekstu. I mimo zmian Allegro ten element pozostaje niezmienny, wystarczy połączyć fakty:
    – metoda doLogin w udostępnionym przez Allegro WebAPI istnieje i ma się dobrze, hasło do logowania się w tej metodzie wysyłane jest w plaintext;
    – jakiś czas temu przy okazji zmian Allegro wysłało do niektórych użyszkodników monit o zmianę hasła na dłuższe i trudniejsze. Rzecz w tym, że dostały je osoby z faktycznie krótkim i/lub prostym hasłem (w tym ja – hasło z 5 liter), a nie wszyscy. Z czego wyciągnęli tą informację? Z hasha?

  40. Śmieszne to i smutne, a propos infrastruktury allegro, uzyskałem informację z dobrego źródła ;), że:

    (…)I have several development servers hooked up to IPA. Devs are locally
    developing code on them, accessing it through Samba shares. We have like
    120+ devs currently working, so it’s a big hassle to manually create smb
    accounts, while there’s IPA providing logins and passwords.(…)

    Tutaj nieocenione i bezdenne źródło:
    https://www.redhat.com/archives/freeipa-users/2009-September/msg00037.html

    • Sam popełniłem tego posta
      On Wed, 2009-09-23 at 10:46 +0200, Tomasz Z. Napierala wrote

      Nie bardzo rozumiem w czym problem?

  41. Osobiście nie mam z tym żadnego problemu. Podobnie jestem oddanym fanem freeipy i splunka, a lista freeipy jest dla mnie od kilku lat w miarę szczegółowym opisem wewnętrznej infrastruktury allegro (low hanging fruits), nie rozpisując się zbytnio mam na myśli: adresy ip, usługi, wersje pakietów i systemów, nazwy domen, czy też bieżące problemy z np. replikacją serwera. Jest to raczej niespotykane, a dla mnie dużo bardziej interesujące niż rzeczone AMA. Pozdrawiam

  42. A gadu-gadu dalej odsyła hasła w plain tekście…

    • Już od pierwszej wersji GG ma taki zapis haseł. Gdy właścicielem był jeszcze pomysłodawca i jedyny producent aplikacji, p. Foltyn miałem okazję odzyskiwać hasło do swojego konta bezpośrednio u Niego, i też byłem pytany o dotychczasowe hasło oraz IP używane do połączenia. Tyle, że Gadu-Gadu nie jest platformą sprzedażową w której podajesz swój nr konta celem zapłaty za to, co masz do sprzedania. Pomijając już to, ze konta na GG nie są własnością użyszkodników, utrata takiego konta nie boli, o ile ktoś nie ma numeru czterocyfrowego (lub niżej). A jak ktoś ma wszędzie te same hasła – problem jest na pewno większy, ale wynika wyłącznie z głupoty danego użyszkodnika.

  43. Wizzair też trzyma hasła w plain tekście i wysyła je e-maile…

  44. Ja osobiscie ostrzegam wszystkich przed Allegro.
    Naprawde, handlujcie gdzie indziej.
    Pod kazdym wzgledem – technicznym, ludzkim, finansowym
    Allegro stoi najnizej.

    Agata Wnuk

    nietypowe2

  45. teraz juz allegro wogóle nie odpisuje na e-maile, zekam 2 tygodnie i nic.
    Złodzieje już za dużo pieniędzy się nahapali.

  46. […] na bazie tych wycieków w końcu uda się jednoznacznie potwierdzić albo zaprzeczyć temu, że Allegro nie hashuje haseł ? […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: