19:54
2/3/2011

Dane 900 użytkowników Allegro krążą po sieci

Dwa tygodnie temu, na pewnym interetowym forum pojawiła się lista przeszło 900 kont z Allegro. Na liście znajdują się loginy, e-maile oraz informacja wskazująca na to, że osoba, która umieściła listę w sieci jest również w posiadaniu haseł do opublikowanych kont (co wg naszych informacji nie jest prawdą). Pomyślicie pewnie — oto lista kolejnych “frajerów”, którzy najprawdopodobniej zainfekowali się jakimś trojanem… — Allegro tak pomyślało, my też tak pomyśleliśmy, ale później znaleźliśmy pewną ciekawą prawidłowość, wskazującą na to, że jest to myślenie błędne.

WTF? Allegro wysłało mi e-maila, że mam wirusa…

Kilka dni temu napisał do nas Jacek, który dostał od Allegro e-maila o następującej treści:

Witamy,
Z dostępnych nam informacji wynika, że Twój komputer może być zainfekowany złośliwym oprogramowaniem. Prosimy o niezwłoczne przeskanowanie komputera aktualnym programem antywirusowym i antyszpiegowskim, a następnie zmianę haseł dostępu do skrzynki e-mail i konta Allegro. Renomowani producenci oprogramowania antywirusowego oferują ogólnodostępne skanery online poprzez strony WWW.

Na początku pomyślał, że to phishing/scam, ale mail okazał się prawdziwy. Zadziwiony wiadomością Jacek, świadomy użytkownik komputera, oświadczył nam, co następuje: “jestem przekonany (przekonanie graniczące z pewnością…), że mój komputer nie jest zainfekowany (wszystko co trzeba chodzi w tle i na bieżąco jest aktualizowane… regularnie pełne skanowanie systemu itp.) śmiem przypuszczać, że poniższe to jakaś “zasłona dymna” Allegro – czyżby znowu wyciekły im hasła?

Kto popełnił błąd?

Najprościej było założyć wersję, że to Jacek “złapał” jakiegoś trojana, ten podsłuchał jego hasło, opublikował gdzieś w internecie, a pracownicy Allegro natknęli się na dane Jacka i odpowiednio zareagowali, wysyłając mu e-maila. I już gotowi byliśmy uznać sprawę za niebyłą, gdyby nie to, że Jacek święcie przekonany o tym, że wina nie leży po jego stronie, zaczął szukać w sieci za pomocą Google swojego loginu — unikalnego i stosowanego tylko w serwisie Allegro…. i natknął się na ten wątek, na jednym z forów poświęconych “hackingowi”:

Powyższy wątek jest o tyle tajemniczy, że jego tytuł wskazuje na wyciek z pewnego dużego serwisu pocztowego, ale jak widać, lista zawiera e-maile z wielu domen. Nie mamy wątpliwości, że są to dane użytkowników Allegro — co można potwierdzić za pomocą wyszukiwarki Allegro (opcja “znajdź użytkownika“). Jacek zauważa też, że niektóre z 900 e-maili są w stylu “witek_allegro@gmail.com“, co dodatkowo potwierdza, że opublikowana na forum lista dotyczy użytkowników Allegro.

Podjęliśmy próbę kontaktu z autorem wątku na “hackerskim” forum — czekamy na odzew. O komentarz wielokrotnie przez ostatnie 3 dni prosiliśmy również Allegro (zarówno e-mail jak i telefon rzecznika milczy).

Jeśli to nie infekcja wirusem, to co?

Jacek, który zapiera się, że jest świadomym i ostrożnym internautą i że na pewno nie złapał żadnego wirusa, znalazł pewną ciekawą zależność pomiędzy opublikowaną listą “wykradzionych” kont, a pewną aukcją w serwisie Allegro:

Allegro - Lista kont na aukcji

Allegro - lista kont i uczestnictwo w pewnej aukcji

Ta korelacja wskazuje na to, że atakujący może wiedzieć o jakiejś dziurze w Allegro (w np. API), która pozwala na odczyt haseł uczestników konkretnej aukcji (tego typu dziurę już kiedyś znaleziono w Allegro!) …albo, co naszym zdaniem bardziej prawdopodobne, atakujący zwyczajnie kłamie, że ma hasła do opublikowanych kont. Zauważmy, że dostęp do loginów i e-maili osób z listy ma np. autor powyższej aukcji i może on świadomie (bądź nieświadomie — np. via malware) udostępniać te dane osobom trzecim.

Skontaktowaliśmy się więc z autorem aukcji (dane do wiadomości redakcji) i w rozmowie telefonicznej z Niebezpiecznikiem zaprzeczył on jakoby miał jakikolwiek związek z upublicznieniem danych kontrahentów, dodając że Allegro nie kontaktowało się z nim jeszcze w tej sprawie. Twierdzi, że firma hekko.pl, która hostuje jego platformę sprzedażową informowała go niedawno o włamaniu na swoje serwery i że istnieje szansa, że opublikowane na forum dane zostały wyciągnięte z wykradzionej z serwerów hekko.pl bazy [aktualizacja, 20:30: hekko.pl zaprzecza włamaniu, a Allegrowicz po rozmowach z Hekko zmienia swoje stanowisko. Oświadczenia poniżej].
Przy okazji, przejrzeliśmy resztę sprzedawanych przez tego Allegrowicza przedmiotów (kody do serwisów internetowych) i zauważyliśmy, że dziwnie pokrywają się one z tematyką wątków, w których wypowiadała się na “hackerskim” forum osoba, która upubliczniła listę kont z Allegro… Wygląda więc na to, że oprócz danych kontrahentów, włamywacze, którzy rzekomo zaatakowali hekko.pl mogli wyciągnąć z platformy sprzedażowej tego Allegrowicza także część produktów (kody), którymi handlował…

Wniosek z powyższej historii: wśród przestępców sprzedających na forach dane do kont z popularnych serwisów zdarzają się oszuści, którzy oferują “konta” mając tylko loginy, a nie hasła (to chyba zgodne z maksymą, że najlepiej jest okraść złodzieja, bo on nie pójdzie na policję…).

Z drugiej strony, warto sobie uzmysłowić, że licytując na Allegro wasze dane mogą być przez sprzedawców przetwarzane i umieszczane na różnorakich “platformach sprzedażowych”, hostowanych w różnorakich firmach. Jacek zastanawia się, czy login z Allegro, imię i nazwisko, pełny adres (z kodem pocztowym), numer telefonu i e-mail mogą się komuś do czegoś przydać (w procedurze resetu hasła w Allegro Jacek został poproszony o podanie kodu pocztowego i nazwiska panieńskiego matki).

Nie zawsze winne są “wirusy”

W świetle powyższych informacji, e-mail przesłany Jackowi przez serwis Allegro, sugerujący że to on ma wirusa jest co najmniej …zaskakujący. Ale i tak brawa dla Allegro za jakąkolwiek reakcję.

Wszystkim Allegrowiczom polecamy szybką zmianę hasła do konta. Jeśli chcecie sprawdzić, czy wasze konto znalazło się na opisywanej przez nas liście, wpiszcie w Google swój allegrowy nick i dorzućcie “Password Dump site:net“, np. tak.

Aktualizacja 20:30
Damian Gałązka reprezentujący Hekko.pl odpiera zarzuty Allegrowicza i stanowczo zaprzecza, że na serwery firmy nastąpiło jakiekolwiek włamanie. Oto podesłane do redakcji oświadczenie:

“Stanowczo zaprzeczamy, jakobyśmy informowali o jakimkolwiek włamaniu z prostej przyczyny. Nie było żadnego włamania. Jeśli jest osoba która twierdzi, że rzekomo nastąpiło włamanie na nasze serwery, niech poprze to stosownymi dowodami. Nie pozwolimy aby dobre imię naszej firmy zostało zszargane przez taką sytuację.”

Przekazaliśmy firmie Hekko.pl dane Allegrowicza, który twierdzi że wyciek informacji o jego kontrahentach to skutek włamania na serwery firmy hostingowej. O wynikach rozmów Allegrowicz- Hekko na pewno Was poinformujemy.

Aktualizacja 3.3.2011 8:00
Allegrowicz, na którego aukcjach licytowały osoby obecne na liście, napisał:

O zaistniałej sytuacji dowiedziałem się od niebezpiecznik.pl [28 lutego 2011r — dop. red.]. Sam jestem ofiarą tej całej sytuacji oraz jestem oskarżany o różne rzeczy. Chce jeszcze raz powiedzieć że nikomu nie udostępniałem żadnych danych które znajdują się na platformie sprzedażowej i że nie mam z tym nic wspólnego. Sam jestem ofiarą tej całej sytuacji, nie mam w żaden sposób zainfekowanego komputera, skanowałem go kilkakrotnie systemem antywirusowym firmy Avira, nie wiem jak te dane mogły wyciec z platformy sprzedażowej.

Muszę tutaj też dodać że dane przechowywane na mojej Platformie sprzedażowej o klientach to tylko login i adres e-mail nie posiadamy żadnych innych danych o klientach kupujących na naszych aukcjach. Jeszcze raz zaznaczam posiadam tylko login i adres e-mail naszych klientów żadnych innych danych. Wszystkie inne informacje są zakodowane w MD5 i jest dodany dopisek nawet jeśli ktoś wyciągnie takie informacje to zdekoduje je błędnie więc jest niemożliwe pozyskanie innych informacji między innymi sprzedawanych produktów.

Allegrowicz dodał również, że:

Nie mam żadnego dowodu na to że taka wiadomość [chodzi o komunikat dot. ataku, umieszczony na koncie Allegrowicza w serwisie hekko.pl — dop. red.] została umieszczona Przez hekko.pl ani nie mogę jednoznacznie stwierdzić że zastał wykonany atak na ich serwery proszę też o napisanie sprostowania odnośnie hekko nie mam zamiaru oskarżać nikogo o cokolwiek

Pan Damian z hekko.pl był uprzejmy podesłać nam ową wiadomość/komunikat, który 23 stycznia 2011 roku był widoczny na koncie w serwisie hostingowym, a do którego w powyższym zdaniu odnosi się Allegrowicz (brak dowodu wynika z faktu, że starsze komunikaty są systematycznie usuwane):

2011-01-23, 18:21 Atak. W dniu dzisiejszym nastąpił dość duży atak na nasze serwery, uniemożliwiło to działanie części sieci. Około godzinę czasu nie działały serwery S2, S3, S8, VPS1. Ostatecznie udało się opanować ataki. Przepraszamy za zaistniałe niedogodności.

Allegrowicz najprawdopodobniej na podstawie tego komunikatu wywnioskował, że opisywany atak mógł wiązać się z wyciekiem danych z jego serwera. Pan Damian z hekko.pl uspokaja, że powyższy komunikat dotyczy ataku DDoS (te zdarzają się każdej serwerowni — dop. red.), który w żaden sposób nie przełamał zabezpieczeń serwerów.

Pytanie jak zebrano listę loginów i e-maili należących do użytkowników Allegro pozostaje dalej bez opowiedzi.

Aktualizacja 3.3.2011, 11:00
Otrzymaliśmy kolejną wiadomość od allegrowicza — wprowadził on do swojej platformy sprzedażowej dodatkowe zabezpieczenie, informujące o próbach logowania z adresu IP innego niż jego własny. Oto podesłany przez niego screenshot e-maila, którego otrzymał w dniu dzisiejszym, a który informuje o nieautoryzowanej próbie połączenia na platformę sprzedażową:

allegro wyciek

Allegrowicz po powyższym wnioskuje, że dane kontrahentów musiały zostać wykradzione poprzez nieautoryzowane zalogowanie się do jego webaplikacji, a nie poprzez włamanie na serwery hekko.pl i przeprasza firmę Hekko za wyrażone przez siebie wcześniej nieprawdziwe opinie. Jednocześnie podkreśla, że w swojej bazie nie przechowuje haseł kontrahentów i wprowadził dodatkowe zabezpieczenia uniemożliwiające logowanie się do platformy sprzedażowej osobom nieupoważnionym.

Aktualizacja 3.3.2011, 13:30
No i doczekaliśmy się obszernego oświadczenia pracownika działu PR Allegro, p. Joanny Wagner (wytłuszczenia nasze).

(…) Chcielibyśmy poinformować, iż nie miał miejsca żaden wyciek danych z serwisu Allegro, ani z żadnego z serwisów Grupy Allegro. Dane osobowe oraz hasła jakie można było znaleźć na wspomnianym internetowym forum zostały najprawdopodobniej skradzione z komputerów domowych ich Użytkowników oraz opublikowane w ogólnodostępnym miejscu w Sieci.
Serwis Allegro na co dzień monitoruje Internet i reaguje na wszelkie informacje związane z upublicznieniem wykradzionych z różnych miejsc, danych Użytkowników Sieci. W przypadku odnalezienia informacji lub listy z danymi newralgicznymi użytkowników Internetu Allegro zawsze weryfikuje, czy osoby te są również klientami serwisu i podejmuje stosowne działania. Odnalezione konta Allegro takich osób są specjalnie zabezpieczane. Równocześnie ze względu na profilaktykę uruchamiana jest akcję wymuszenia zmiany haseł u naszych Użytkowników. Osoby te są informowane i proszone o zmianę hasła dostępowego do konta oraz przeskanowanie komputera. Są to działania prewencyjne, zapobiegające ewentualnej utracie dostępu do konta w związku z krążącymi w Internecie danymi. Warto zaznaczyć, że takie procedury są obowiązujące na całym świecie i stosują je największe internetowe serwisy. Ta sama mechanizm został uruchomiony dwa tygodnie temu po odnalezieniu na forum internetowym danych i loginów użytkowników Internetu.
Dane zamieszczone w Internecie zostały skradzione prawdopodobnie przy użyciu programów szpiegujących z komputerów domowych ich właścicieli. Serwis Allegro nie miał z tymi wydarzeniami nic wspólnego.
Jednocześnie chcielibyśmy wskazać na fakt, iż w wielu tego typu przypadkach początek problemu zaczyna się od użycia nieautoryzowanego oprogramowania na komputerach domowych oraz nieprzemyślanego korzystania z zasobów Internetu. W ten sposób Internauci „wpuszczają” na swoje komputery złośliwe oprogramowanie, a co za tym idzie wystawiają się na cel przestępców.
Jednym z najczęściej popełnianych błędów Internautów jest posiadanie tego samego (często niezmiernie łatwego) hasła dostępowego jak adresu e-mail do wielu usług i serwisów internetowych. Ułatwia to potencjalne ataki przestępców mające na celu wyłudzenie danych osobowych oraz podszywanie się.
Przypominamy, iż używanie nieoryginalnego oprogramowania oraz „klikanie” w nieznane linki grozi zainfekowaniem komputera osobistego wirusem kradnącym dane. Jest to jednoznaczne z przekazaniem przestępcom danych dostępowych do swojego konta e-mail, internetowego konta bankowego oraz kont w innych serwisach internetowych.Dlatego zalecamy używanie jedynie oryginalnego oprogramowania, skanowanie komputera programem antywirusowym oraz rozsądne korzystanie z zasobów Internetu.
Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.

Powyższe oświadczenie pozostawiamy bez komentarza, dodając jedynie, że oryginalne oprogramowanie też ma wiele błedów i korzystanie z niego również grozi infekcją.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

63 komentarzy

Dodaj komentarz
  1. Szacun dla Jacka za znalezienie tej aukcji :)

    • Co to za problem skoro sam brał w niej udział?

      Znalazłem tą aukcję – dotyczy ona automatycznego zakładania kont na hotfile. Więc podejrzewam że albo zakładający te konta je potem sprzedaje (mało prawdopodobne bo sam by się podkopywał), albo jego automat ma dziurę wykorzystaną przez hackera.

      Zatem atakujący ma najprawdopodobniej hasła do hotfile (a nie hotmail ani allegro). Registration date to data założenia konta na hotfile =~ data licytacji / otrzymania przelewu.

  2. No i znowu coś z allegro – ja tak profilaktycznie poszukałem mojego nicku z allegro na google i przez pierwsze 3 strony była jakaś firma budowlana, a czwarta to to, co google zindeksowało z komentarzy.
    Troche mnie nastraszyliście, ale znowu się okazało, że mnie to nie dotyczy.

  3. Hmm, też dostałem maila o takiej treści. Jakiś tydzień temu. Ponadto, allegro wymusiło na mnie zmianę hasła przy logowaniu. Strasznie zaczynają mi się nie podobać te wycieki z naszego popularnego serwisu aukcyjnego :(

    • Wygląda na to, że allegro w porę (powiedzmy…) się zorientowało. Przy zmianie hasła musiałem podać nie tylko aktualne hasło ale też pytanie kontrolne. Tak czy siak, wstyd…

    • Błagam, RTFA! Z chęcią poznamy dowody na to, że to wyciek z Allegro — póki co wszystko wskazuje na inną opcję.

    • No tak, nie odczytałem. Czyli wygląda na to, że hosting sprzedawcy zawinił i wyciekły tylko loginy i powiązane z nimi adresy e-mail.

  4. BOK hekko.pl zaprzecza:
    “uprzejmie informuję, że na nasze serwery nie było żadnego włamania. Jedyną możliwością jest włamanie na konto użytkownika, co nie jest jednoznaczne z tym faktem.”

    • No jasne, bo konta użytkowników ich hostingu nie znajdują się na ich serwerach. Chyba chcieli kulturalnie powiedzieć, że ktoś zajumał mu hasło i wykradł dane, a oni nie mają z tym nic wspólnego… ;)

    • @Torwald: a potrafisz sobie wyobrazić sytuację, że właściciel konta zostawie hasło do niego na monitorze, ktoś je odczytuje, a potem loguje się i zgrywa wszystkie dane? Powiedz mi, jaka wina jest wtedy po stronie firmy hostingowej?

    • @Piotr Konieczny – owszem, potrafię sobie to wyobrazić i w takim przypadku hosting nie ponosi żadnej winy (no bo niby dlaczego…). Problem w tym, że taka sytuacja jest mało prawdopodobna (delikatnie mówiąc) a nazwy userów z tej listy nie pokrywają się w całości z listą klientów tego ‘Pana od aukcji’.

      Skoro tylko część loginów/emaili jest od jednej osoby, to zakładam że ofiarą ‘włamu’ padli albo inni sprzedający albo dane wyciekły od Allegro z powodu jakiejś ‘niedoróbki’ (co już jest bardziej prawdopodobne, zwłaszcza po ich nagłej reakcji kilka godzin temu).
      Swoją drogą to userzy dostali maile nie tylko dzisiaj, ale również kilka dni temu – I’m confused…

  5. Dziwna sprawa bo mi 2 dni temu też nagle przyszedł mail od Alledrogo,że mój email został zmieniony. Jak się okazało osobnik posiadający maila cow30x@yahoo.com dostał się na moje konto Allegro. Po krótkiej wymianie mailowej dowiedziałem się że posiada on tylko moje hasło do Allegro i adres email. Jako,że hasła do Allegro nie używałem od dawna i komputer prześwietliłem dokładnie stwierdzam,że to nie ode mnie wypłynęło hasło :/
    Spróbuję się dowiedzieć,czy to on je zdobył,czy też znalazł w sieci.

  6. Z całym szacunkiem do właścicieli tego portalu ale nikogo nie informowaliśmy o żadnym włamaniu, bo takiego nie było. Oczekujemy na wyjaśnienia w tej sprawie. Nie pozwolimy aby ktoś pisał publicznie takie brednie.

  7. Ciekawostka – raczej nie związana z tematem:
    20:34 – Przerwa techniczna

    Obecnie trwa przerwa techniczna. Oferty sprzedaży, które powinny zakończyć się w tym czasie, zostaną przedłużone o 24 godziny.
    Celem planowanych modyfikacji jest zwiększenie komfortu i >> bezpieczeństwa << użytkowników ;)
    Przepraszamy za niedogodności.

    Zespół Allegro

    • Potwierdzam – niespodziewanie o 20:3x postanowili poprawić komfort i bezpieczeństwo. Kochane Allegro :*

  8. Mojego loginu nie ma ..ufff , ale ze” przezorny zawsze ubezpieczony ” chcialem zmienic hasło . a tu okazuje sie ze na allegro.pl trwa “przerwa techniczna” . daje to nieco do myslenia:d

  9. Cos jednak jest na rzeczy, bo stronk allegro wyglada teraz tak:
    ============================================================
    Przerwa techniczna
    Obecnie trwa przerwa techniczna. Oferty sprzedaży, które powinny zakończyć się w tym czasie, zostaną przedłużone o 24 godziny.
    Celem planowanych modyfikacji jest zwiększenie komfortu i bezpieczeństwa użytkowników.
    Przepraszamy za niedogodności.
    Zespół Allegro
    ============================================================

  10. Co to .. jest? Im większy serwis tym mniejsze zainteresowanie o bezpieczeństwo danych. Przykład, że allegro oraz gadu-gadu (W tym wypadku nie serwis a komunikator) trzymają hasła w plaintext jest dowodem na to, że o (nie)bezpieczeństwo naszych danych dbają idioci. Ktoś zaprzeczy, że hasła w plaintext to przesada?

  11. Ano, właśnie tworzę (spod palca) system obsługi Allegro dla klienta (~ 10 tys. aukcji z kilku kont) i jednym z elementów, które od początku zaprojektowałem, jet odpowiednia umowa o ochronie danych osobowych, zawarta z dostawcą hostingu (jesteśmy na etapie konstruowanie tejże umowy – dostawca ma to w ofercie, ale indywidualnie podchodzi do klienta).

    BTW API Allegro to lekki bajzel, mam wrażenie że nie do końca nad tym panują. Zdaję sobie sprawę, że to nie jest łatwe, wprowadzanie zmian na takim organizmie, ale jednak… Jeśli pozostała część infrastruktury wygląda podobnie, to niebezpiecznik będzie miał o czym pisać…

  12. Znalazłem to forum z baża, wpisałem 3 nick do wyszukiwarki na allegro użytkowników. wynik?
    Użytkownik od: 2002-01-29 19:43:35 (ostatnio logował się: 2002-02-03 18:30:41)

    Nawet się człowiek nie logował od 8 lat. Ciekawy temat :)

    • Nie wszystkie z tych 900 osób licytowały w tej aukcji. Może ktoś oprócz Jacka przeprowadzi głębszy research i wykaże w jakich brały udział (i kiedy). Temat jest ciekawy, niestety Allegro nie podnosi telefonu i nie odpisuje na e-maile, więc ciężko jest porównać dochodzenie Jacka ze “śledztwem” Allegro, jeśli takowe jest prowadzone.

    • Są użytkownicy którzy nie brali udziału w żadnych aukcjach :)
      Puste konta, ktoś założył, zalogował się, zapomniał.

    • Jakieś nicki? Podeślij na prv.

    • Wysłałem przez zakładkę “Kontakt” jeden nick, jeśli znajdę więcej podeślę resztę zbiorczo :)

      Pozdrawiam.

  13. ogólnie to teraz jakiś problem z certyfikatami zabezpieczeń jak coś chciałem kupić… się normalnie przeraziłem że nam całe allegro zhakowali :D

  14. Tak z ciekawości poszukałem w sieci i znalazłem:
    http://tophack.pl/info,hekko.pl,43.html
    Ale to trochę stare

    • Stare i nieprawdziwe zapewniam. Sam screen pojawił się już pod koniec 2007 czy na początku 2008 roku w sieci..

    • a może ma się jeszcze baza pojawić ? -.-

  15. jak zwykle niebezpiecznik cenzuruje screenshoty tak, że wszystko się da wygooglać :D

    sądząc po specyficznej strukturze danych podanych na tym forum:
    Login E-mail Registration Date
    Confirmed
    Send e-mail 29.10.2010 Delete
    to musiał to być jakiś zautomatyzowany skrypt, czy coś, i pewnie by można dokonać analizy w jakim skrypcie można tak na pałę skopiować tabelę… tylko że to mało prawdopodobne, że coś się znajdzie.
    a, i ostatnia linijka jest ucięta, co sugeruje, że tych danych mogło być znaaacznie więcej. albo nie.
    dalej, co to jest to “registration date”? lista jest po tym posortowana, od 29.10.2010 do 18.12.2010 (chociaż dalej mogło coś być, dane są niekompletne ;] ). data zdobycia danych o koncie? drugi screenshot by to potwierdzał
    co by tu jeszcze… user, który to umieścił, jest najwyraźniej szanowany na tamtym forum za inne posty z hasłami, a, teoretycznie, nie narażał by swojej reputacji, prawda? ale ja tam się nie znam :P

    • To jest ewidentnie skopiowane z jakiegoś interfejsu webowego Confirmed, Send e-mail, Delete były zapewne pierwotnie obrazkami do odpowiednich akcji.

    • Wyglada jak panel administracyjny z jakiesgos programu do zarzadzania aukcjami Allegro… 100% gosciu ma tylko emaile bez hasel.:)

    • @li-on, to jest na 100% skopiowane z jakiegoś interfejsu.
      http://wstaw.org/h/5f7e9f404c6/

      Najbardziej mnie zastanawia, czym jest “registration date”. Rejestracja w czym?
      Że dane dotyczą Allegro to wszyscy wiemy, jednak są osoby które w ostatnich dniach/miesiącach/latach nie kupowały/logowały się do serwisu.
      Wiec czego dotyczyć może rejestracja.

      Kolejna kwestia – ostania pozycja jest ucięta co może oznaczać tylko, że danych jest/było o wiele więcej. Ktoś nie zdążył skopiować całości? Rekordów jest równo 890 (z jednym uciętym).

    • TataRysh: daty w dumpie, to daty zalicytowania na aukcji, por. na drugim screenie.

    • niesamowite jest to odpowiadanie na dany komentarz, nie czytając tego komentarza, prawda? xD (czy właściwie przepisywanie tego samego, innymi słowami) no, chyba, że to Mr Niebezpieczny pogrupował :P

      btw, to wyłapywanie nieudanych prób logowań, po upublicznieniu newsa… ciekawe, ilu czytelników Niebezpiecznika już się próbowało logować? xD

    • a, jeszcze jeden istotny szczegół. obecnie panująca teoria dotyczy wycieku z bazy Anonimowego Allegrowicza, ale w takim razie skąd Registration Date? cytując AA: “zaznaczam posiadam tylko login i adres e-mail naszych klientów żadnych innych danych”. no, chyba, że AA uznał, że nie są to ‘dane o klientach’. i w sumie racja :P

  16. Allegro zapewne soli i hashuje wszystkie hasełka więc ewentualny wyciek raczej nie wchodzi w grę.

  17. Przejrzałem dokładnie tą listę. I oto moje wnioski. Na liście jest 890 osób, z czego niemal połowa, bowiem 432 osoby wystawiły jednemu użytkownikowi na Allegro komentarze. Kupić coś u niego mogło znacznie więcej. Użytkownik ten sprzedaje na Allegro konta do serwisów udostępniających pliki. Daty podane na liście są na 99% datami wystawienia przedmiotu na aukcję, bowiem daty komentarzy na allegro są zawsze późniejsze o kilka lub kilkanaście dni.
    Zbierając to wszystko razem, wysuwam wniosek, że wyciek nastąpił od tego właśnie użytkownika. Możliwe, że niektóre osoby licytujące na Allegro zakładały sobie konta do serwisów z plikami używając tych samych danych co na Allegro.

    • Daty nie są datą wystawienia przedmiotu, a datą licytacji w aukcji. Patrz drugi screen.

  18. Przejrzałem jeszcze raz dokładnie daty i na liście, i te daty albo pokrywają się z datą wylicytowania przedmiotu, albo są 1-2 dni późniejsze. Są to więc najprawdopodobniej daty założenia kont w serwisie z plikami, a właściwie u pośrednika, sprzedającego te konta na Allegro. Potwierdza to postawioną wyżej teorie, że osoby mogły zakładać sobie konto używając tych samych danych co na Allegro.

  19. > Najbardziej mnie zastanawia, czym jest “registration date”. Rejestracja w czym?

    Aukcja dotyczyła zakładania kont na hotfile – data jest datą rejestracji na hotfile (może też na fileserve, sprzedawca ten też zakłada tam konta z automatu).

    > Możliwe, że niektóre osoby licytujące na Allegro zakładały sobie konta do serwisów z plikami używając tych samych danych co na Allegro.

    Nie musiały – automat im zakładał – wszystko jest wytłumaczone w opisie aukcji :)
    Hasła do allegro automat raczej nie miał, więc te hasła o których się hacker chwali to pewnie są hasła do hotfile (przejęzyczenie z hotmail?) które skrypt nadawał nowotworzonym użytkownikom.

    • Człowiek wygrywa aukcję, wpłaca pieniądze, wchodzi przez automat, wpisuje login z allegro, adres email dla potwierdzenia wpłaty, skrypt zakłada konto – a po cichaczu wysyła również dane hakera? Coś w ten deseń myślisz?

    • @TatRysh Raczej: ktoś znajduje kod/baze automatu/platformy_sprzedażowej (przypadkiem lub dokonując włamania), widzi w niej sporo kont (loginy, e-maile) i wystawia na “undergroundowym” forum, aby złapać klienta na te dane. Oczywiście ma zamiar nieprzesłania mu haseł, kiedy do transakcji dojdzie, czyt. wezmie pieniądze od osoby chętnej na konta allegrowiczów i “zniknie”.

  20. W sumie nic nowego, ze dane sprzedawcow sa publicznie dostepne, jezeli niektorzy wrzucaja zdjecia na allegro w stylu ftp://login:haslo@host/allegro/obrazki/telefon.jpg czy nawet na http, ale z dostepem do listingu… gdzie mozna sciagnac dane wszystkich oferowanych produktow wraz z adresami hurtowni czy baze klientow. Pisalem do sprzedawcow, ale nic nie odpisali, a problem dalej byl.

  21. …tak, ten Jacek….
    parę komentarzy z mojej strony – z perspektywy czasu, po dodatkowej analizie i po przeczytaniu powyższych komentarzy.

    @Mik:
    Szacun / nie szacun (nie zależy mi…), zwróć tylko uwagę na fakt, że samo Allegro mając komplet danych (wszystkie loginy i pełną bazę aukcji) takiego wniosku nie potrafiło wyciągnąć (do przedwczoraj twierdzili, że to na pewno ja mam jakiegoś trojana – zbieżność, że kilkanaście kolejnych osób biorących udział w aukcji jest w takiej samej kolejności na wykradzionej liście nie wzbudziła ich zainteresowania:))
    Więc może nie tyle “szacun dla Jacka”, co baty dla Allegro za chowanie głowy w piasek…

    Wyjaśniam wszystkim przypuszczającym/zgadującym (może to coś pomoże, albo przekreśli jakieś teorie):
    1) login do hotfile, który otrzymałem po aukcji był zupełnie inny niż mój login do allegro
    2) nie musiałem przy pomocy mojego loginu z allegro się nigdzie logować (na żadnej platformie zakładania kont) aby otrzymać konto, konto dostałem automatycznie po 1 minucie od wylicytowania na aukcji i wykonaniu “płace z allegro”

    Dodatkowo:
    3) “Reputacja” tego kolesia co wystawił dane na ha######t.net nie jest w mojej ocenie wcale taka wysoka (pojawił się tam w styczniu, sporo (większość?) plusów ma od ludzi z reputacją = 0 lub bliską 0).
    WNIOSEK: Teoria o próbie naciągnięcia złodzieja przez złodzieja (czyli de facto – brak haseł) – bardzo prawdopodobna. Zresztą – nawet najlepszym zdarzają się pewnie pomyłki:)

    4) Na liście są loginy, które nie brały udziału w ostatnich latach w żadnej aukcji – pisał o tym już TataRysh (ja znalazłem na razie 1 taki – drugi na liście ha######t.net – wg wyszukiwarki allegro ostatnio logował się w 2002 roku), ale…. i tu być może najciekawsze:
    a) [jednej z loginów] i przypisany do niego adres email (składający się z imienia i nazwiska) pokrywa się w 100% z imieniem i nazwiskiem mojego sprzedającego w tej aukcji pokazanej na zrzucie
    b) [inny z loginów na liście] dodatkowo też ma takie samo nazwisko (a na dodatek podobny login)
    c) na liście widnieje jeszcze jeden login do allegro z tym samym adresem email co w punkcie (a)
    WNIOSEK: Uprawdopodobnia to moim zdaniem wyciek po stronie sprzedającego – wyciekły dane albo osób uczestniczących w jego aukcjach, albo jakichś multikont, które sam sobie na Allegro pozakładał (na siebie, żonę/siostrę itp.) i które trzymał w jakiejś bazie/poczcie

    BTW – wydawało mi się, że Allegro surowo pilnuje multikont… jak widać byłem naiwny :)

    Niepokojący w całej sprawie jest dla mnie jednak brak oficjalnej odpowiedzi Piotrowi przez Allegro i wczorajsza przerwa techniczna. Pożyjemy, zobaczymy…

  22. Podążyłem śladem wskazanym przez Jacka i wydaje mi się, że to strzał w 10! Potwierdzam, że na liście znajdują się 2 loginy należące do wystawiającego aukcje na Allegro: m***ed i m***jd, oraz login osoby należący do kogoś z rodziny: d***114. Oprócz tego na liście jest 16 nicków, które nie mają konta na Allegro i 25 osób, które na pewno nie logowały się w ciągu ostatnich 6 miesięcy. Tak więc ten wyciek nastąpił raczej z komputera sprzedającego bądź z któregoś należących do niego kont e-mail. Hasła raczej nie wyciekły.

  23. Allegro jak zwykle leci w kulki z użytkownikami. Niestety zrobił się nam moloch aukcyjny.

  24. LOL@ oświadczenie Allegro.Pokładam się ze śmiechu :D. Wynika z niego, że miła Pani z PR ALLEGRO w ogóle nie przeczytała Waszego artykułu. Tak się znastanawiam ,czy ktoś jeszcze nabiera się na takie bajki jak ,,nieoryginalne oprogramowanie”?

    Bo jedyne uzasadnienie jakie widzę, popierające tezę Allegro że to użytkownicy mają trojana (i to akurat dziwnym trafem ci którzy licytowali w jednej aukcji) jest takie, że to allegro na stronie tej aukcji musiało im tego trojana sprzedać, bo nic innego przecież tych userów nie łączy.

  25. wzorowy PR-bullshit-flow

  26. Allegro nie popisało się spójnością oświadczenia:
    “Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.”
    Ja cię sunę, a nie lepiej od razu trwale usunąć? Bo jeżeli dajmy na to tak by się stało w moim przypadku, to gdy odwiedzą mnie smutni panowie z trzyliterowej “firmy” akurat jak będę dane “zabezpieczał” to nie będzie to dobrze wróżyło posiadaniu przeze mnie wolności ;-)

  27. nie ma to jak odpowiedz idealnie skrojona do nadawcy. szkoda, że się pomylili i wysłali to do Was a nie do gościa niedzielnego;)

  28. “Wszystkie inne informacje są zakodowane w MD5[…]”

    Jaki jest sens hashowania innych danych niż hasła? Z wypowiedzi sprzedawcy wynikałoby, że albo posiada zahashowane hasła, albo nie wie o czym pisze…

  29. Jestem tylko ciekaw ile osob wykorzysta te “Password Dump site:net” do swoich “innych” celow np. “redtube Password Dump” :D To drugie co mi przyszlo na mysl po sprawdzeniu swojego nicku ^^

  30. Teraz TVN24 szerzy bzdury o tym, że to do sprzedania wogóle “z polskich portali”… żal..

  31. Hehe TVN tez już ma swojego newsa;)
    http://www.tvn24.pl/-1,1694848,0,1,polskie-dane-na-hakerskiej-aukcji,wiadomosc.html

    • TVN CNBC dzwoniło do nas zbierając informacje do tego materiału. Wielokrotnie podczas rozmowy podkreślaliśmy, że na liście nie ma haseł. Jak widać, nie posłuchali. Tłumaczyliśmy też, dlaczego Allegro nie ma racji, mówiąc, że dane wyciekły z komputerów użytkowników za sprawą “wirusa”.

  32. Oczywiście jak zwykle allegro frontem do klienta – “obywatelu radź sobie sam!”.
    Podobnie wygląda u nich z oszustwami popełnianymi na ich platformie.

  33. Czasem bywa i tak, że do jakiegoś towaru dokłądane są trojany gratis. Np. na płycie ze sterownikami czy w programie do zarzadzania mp3 dla sprzedawanego playera mp3.

  34. Zgodnie z powiedzeniem “tylko winny się tłumaczy” Allegro samo się wkopało ;)
    Skoro userzy i sprzedawca nie mają malware, nie było włamu na allegro ani na hakko, to skąd się te dane wzięły?

  35. Niestety moje konto mailowe znalazło się również na liście h*****.net. Data pokrywa się z datą zakupu na aukcji konta HF za 9,99 , z wcześniejszą niż w tym wątku datą (aukcja jest jeszcze widoczna w stronach alledrogo). Ponieważ wiem ,że nie logowałem się z żadnego linka (używam IDM) nie ukrywam, ze poczułem się nieswojo. Otrzymałem powiadomienie z serwisu aukcyjnego z sugestią zmiany haseł, ale ponieważ jestem prawie pewny ,że wyciek nie nastąpił z mojej maszyny, oczywiście ciekawi mnie skąd wzięły się te dane.

  36. hekko bylo shackowane bo byla nawet ich baza danych na sprzedaz zreszta nie tylko ich ;).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: