19:02
24/11/2010

Wczoraj, przez ok. godzinę można było poznać hasło (i inne dane) dowolnego użytkownika serwisu Allegro, o ile brał on udział w jakiejś aukcji w ciągu ostatnich 90 dni. Co gorsza, błąd potwierdził stawiane od dawna hipotezy, że serwis przechowuje hasła użytkowników w formie niezahashowanej. Poniżej wyjaśniamy na czym polegał błąd i przestawiamy stanowisko serwisu Allegro.

Allegro pwdnęło samo siebie

Allegro autopwns itself

Allegro zhackowało się samo :)

Poniższą wiadomość o błędzie podesłała nam osoba podpisująca się jako “slavkowsky”.

Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza również haseł w czystej postaci.

Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.) zaczęła zwracać wyjątek “Client: looks like we got no XML document“. Sprawdziłem więc co tak na prawdę zwraca webapi — to co zobaczyłem mnie wmurowało. Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł.

Slavkowski podesłał przykładową tablicę reprezentującą danego użytkownika (informacje “wrażliwe” zostały ocenzurowane):

["us_id"]=>int(xxx)
["us_first_name"]=>string(6) "xxx"
["us_last_name"]=>string(5) "xxx"
["us_company"]=>string(0) ""
["us_address"]=>string(25) "xxx"
["us_state"]=>int(x)
["us_postcode"]=>string(6) "xxx"
["us_city"]=>string(7) "xxx"
["us_country"]=>int(x)
["us_email"]=>string(28) "xxx"
["us_phone"]=>string(10) "xxx"
["us_phone2"]=>string(0) ""
["us_create_date"]=>string(19) "xxx"
["us_login_date"]=>string(19) "xxx"
["us_login"]=>string(8) "xxx"
["us_password"]=>string(12) "hasło_nieshashowane!"
["us_selected_country"]=>int(x)
["us_rating"]=>int(xxx)
["us_options"]=>int(xxx)
["us_cobranding"]=>int(x)
["login"]=>int(x)
["us_options2"]=>int(x)
["us_options3"]=>int(x)

Slavkowski zażartował, że jeden z programistów Allegro chyba postanowił rzucić pracę w podobnym do kierowcy autobusu stylu, dodając że za pomocą powyższego błędu można było poznać hasła setek tysięcy osób.

Komentarz Allegro w sprawie błędu i wycieku danych

Poprosiliśmy o komentarz Allegro. Oto odpowiedź jaką podesłał Patryk Tryzubiak:

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych.

Ważną informacją jest fakt, że dostęp do WebAPI allegro nie jest publiczny. Aby móc korzystać z tej usługi potrzebny jest klucz dostępu wystawiany przez serwis allegro. Oznacza to, iż doskonale wiemy kim są odbiorcy usługi. Każde logowanie do webAPI jest rejestrowane.

Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błedu. Niemniej ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników. Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.

Wygląda więc na to, że nie ma się czym martwić; jeśli wierzyć wypowiedzi rzecznika Allegro, tylko jeden programista (czyżby slavkowski?) zdecydował się na dogłębne sprawdzenie błędu. I choć nie wiemy ile rekordów pobrał i co z nimi zrobił, po jego postawie (poinformowanie naszego serwisu o luce) wnioskujemy, że jest on uczciwym internautą :-)

Godna pochwały jest szybka reakcja Allegro (błąd został prędko naprawiony). Mamy nadzieję, że akcja zmiany e-maili nie wynika z naszego zainteresowania się sprawą, a była planowana niezależnie. Podobnie wierzymy też, że osoby, które nieumyślnie pobrały dane innych użytkowników serwisu, zastosują się do prośby Allegro i skasują je ze swoich dysków.

Jeśli masz konto na Allegro, jak najszybciej zmień hasło i w Allegro i w innych serwisach, w których miałeś ustawione to samo hasło — w przeciwnym razie ktoś może je zmienić za ciebie ;)

Jedyne co nas martwi (i szokuje), to te hasła trzymane w plaintekście… szkoda, że rzecznik Allegro nic nie wspomniał na ich temat w swojej wypowiedzi.

Jeśli chcesz śledzić sprawę na bieżąco, dodaj nas do RSS lub zapisz się na newslettera.

Aktualizacja 12:13, 25 listopada 2010
Rzecznik Allegro, Patryk Tryzubiak odpowiada na pytania dot. przechowywania haseł w jawnej postaci (nie nam, ale dziennikarzom Gazety)

Hasła są zabezpieczone i zaszyfrowane, nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników Allegro. Tu mieliśmy do czynienia niestety nie tylko z błędem, ale także zbiegiem okoliczności, dzięki któremu był możliwy dostęp, do tych wyjątkowych obszarów.


Przeczytaj także:



128 komentarzy

Dodaj komentarz
  1. hyhy, ten plaintext jeszcze sie na nich kiedys zemsci.
    swoja droga, czy ktos jest w stanie podac logiczny powod, dla ktorego te hasla nie zostaly jeszcze zahashowane? przeciez moga odpalic update na baze i sobie wszystko shashowac…

  2. Myślałem, że to Gadu-Gadu to “duże głupie coś”, co trzyma hasła w postaci niezaszyfrowanej. Gdzie gadu-gadu wprowadzając szyfrowanie automatycznie zabiłoby wcześniejsze wersje komunikatora [gdyż w nich brak wsparcia dla szyfrowania], tak nie wiem, dlaczego allegro trzyma hasła w postaci plaintext. Jest to cholernie nieodpowiedzialne, mam nadzieję, że allegro wypowie się jednak w tym temacie.

  3. Blad ? takie bledy nie powstaja celowo. Jest 21 wiek w ktorym informacja to bardzo cenny produkt. Ciekawe jaka kasa stoi za tym “bledem” ;)

  4. @Rocik, trzymanie zaszyfrowanych haseł a szyfrowana komunikacja to 2 zupełnie różne rzeczy…

  5. Może te hasła nie są zahashowane, bo programiści robili sobie wielki słownik do łamania innych? ;]

  6. Krzysiek, no tak, z drugiej strony można zrobić tak, by hasło w Gadu-Gadu przechodziło z plaintext na hash dopiero na serwerze, ale żeby było ładniej, lepiej jakby hash był już u klienta, prawda?

  7. Istnieje pewien schemat autoryzacji z trzymaniem plaintextu w dobrze zabezpieczonej bazie danych (z dostępem tylko kilku procedur [zapisanie nowego klienta do bazy, porównanie bez odczytu samego hasła, zmiana hasla]) – wtedy użycie jednorazowych ticketów i haszowanie hasła np. w JS albo applecie javy po stronie klienta pozwala na zalogowanie, a uniemożliwia przechwycenie hasła nawet na niezaszyforwanym kanale. Ma swoje plusy i minusy, ale tak czy siak allegro go nie używa – nie ma więc żadnego sensownego powodu żeby trzymać hasła w bazie :)

  8. @Rocik: Akurat klient GG przesyłał hasła do serwera w formie hasza od wersji 6(autroski wyjątkowo nędzny hasz), a od wersji bodaj 7 już jako SHA, więc tu nie ma problemu.

    Za to na serwerach GG miało(ma?) hasła w plaintekscie, bóg jeden raczy wiedzieć po co.

  9. Właśnie dostałem maila, od Allegro – reset haseł?

    Witaj ******** (Imię Nazwisko),

    W trosce o bezpieczeństwo Twojego konta, przeprowadzamy akcję zmiany haseł dostępu do Allegro.

    Przy następnej próbie logowania, zostaniesz prawdopodobnie poproszony o zmianę hasła. Zmień je. Pozwoli to zachować wysoki poziom bezpieczeństwa w serwisie.

    Zbyt proste i popularne hasło stanowi potencjalne zagrożenie dla Twojego konta. Pamiętaj, aby po zmianie hasła uaktualnić dane we wszystkich zewnetrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

    E-maile o zmianach i nowościach w Allegro są imiennie zaadresowane. Jeśli dostaniesz powiadomienie bez Twojego imienia i nazwiska, nie odpowiadaj na nie.

    Pozdrawiamy,
    Zespół Allegro

  10. Tak sie zastanawiam czy oni w ogole testuja to co idzie na produkcje…

  11. @clondike na co te ********** w imię i nazwisko Panie M***** Ł****** ;D

  12. @Marian, w takim razie już wcale nie umiem powiedzieć, o co chodzi w sieci Gadu-Gadu. Pomijając już to, że hasła trzymane są w PlainText, hasło leci jako hash [zapewne aby nikt go po drodze ‘od tak’ nie przeczytał, żeby użył minimum siły by ten hash na plaintext rozkodować, tak?], to po kiego grzyba na serwerze to zamieniać na czysty text? Taka pewność, że ich serwery są w 100% bezpieczne [a wiadomo, że nie ma czegoś takiego jak 100% bezpieczeństwo], nie rozumiem GG tak samo, jak allegro.

  13. @masterr: Coś w stylu “tu wstaw swoje dane”, przecież wiem, że zostawiam link do swojej strony, gdzie jest moje imię i nazwisko ;-). Nie ma tam za to nazwy mojego użytkownika na Allegro (i tylko tam były gwiazdki).

  14. Przy rejestracji chyba nadal wysyłają je plaintextem(chociaż teraz przynajmniej po SSL) i w tej postaci sobie zapisują, a hasze tylko przy logowaniu – wprowadzili to po tym jak ktoś się zaczął bawić snifferem :)

  15. tja, też mejla o zmianie hasła przy następnym logowaniu dostałem… Pewnie dostali wszyscy. Poguglowałem, żeby sprawdzić, czy to nie jakiś fejk i wylądowałem na niebezpieczniku. Co za wtopa Allegro…

  16. Wątpię aby cokolwiek testowali, po ostatniej aktualizacji dodali opisany w tym poście ficzer pobierania hasła i przy okazji spieprzyli kilka innych metod. Dwa dni już usiłują się uporać z jedną bzdura a ludzie muszą ręcznie realizować zamówienia.

    Rozpacz.

  17. Z tego co zrozumiałem, jeżeli nie brałem (wciągu ostatnich 2 tyg.) udziału w żadnej aukcji to mogę czuć się bezpiecznie?

  18. Śmieszna sprawa. Mejla dostałem, po zalogowaniu nie wołało o nowe hasło, ale mimo wszystko je zmieniłem. Zalogowałem się na nowym – wszystko cacy. Jako, ze w Operze miałem jeszcze zapamiętane stare, spróbowałem go użyć i… Zadziałało :-). Zalogowałem się kilka razy na stare/nowe – na zmianę – wchodziłem za każdym razem. Napisałem zgłoszenie do pomocy Allegro, spróbowałem zalogować się na ZŁE hasło (ani nowe, ani stare) – nie udało się. Po tej próbie przestało też działać stare. Nie wiem skąd wzięło się to opóźnienie, ale jestem pewien (mam nadzieję, ze ktoś z Allegro przyjrzy się zgłoszeniu i będzie w systemie widział logowania na zmianę), że działały oba.

    Tak czy inaczej, zmiana już za mną :-).

  19. A mnie nie poprosili o zmianę hasła jak się zalogowałem…
    Ale jeśli dalej stosują hasła w plaintekście to teraz powinien mi przyjść pozew za obrazę :P

  20. Jakiś czas temu usunąłem konto z alledrogo, ale pokazała mi się unformacja, że mogą dalej przechowywać moje dane osobowe.

    Czy w związku z tym mam sie bać?

  21. Ja nic nie dostałem, a wczoraj licytowałem…

    ByTheWay ktoś dodał was na wykop: http://www.wykop.pl/link/535589/allegro-znowu-dalo-ciala/ [fixd]

  22. Oni nigdy się nie nauczą :/ A niby 2010 rok.

  23. Za każdym razem mam szczęście: na Wykopie założyłem konto kilka dni po czasie opublikowania listy haseł, na Filmwebie nie byłem w bazie, na Allegro akurat nic nie licytowałem/sprzedawałem. ;)

  24. […] wypłynęło, że istore.pl ma niehashowane hasła.  Wczoraj wypłynęło, że całe Allegro ma niehashowane hasła. Nie wierzę w takie przypadki przy pracy. Ta firma jest zbyt duża i zbyt międzynarodowa, żeby […]

  25. to sie kwalifikuje na wizytę GIODO … jak wiadomo zle przechowywane dane klientów to nawet spora kara ….

    P.

  26. W ogóle to jest FAIL używanie w webAPI zapytań do bazy, które wykorzystują jakiekolwiek dane poufne… Rozumiem jeszcze dane kupującego (adres etc) po wygraniu aukcji. Ewentualnie dla sprzedającego informacje kto, co, kiedy, gdzie mieszka…
    No ale żeby w webAPI wyciągać hasło z bazy? Masakra jakaś…

  27. Gdybym nie przeczył na Niebezpieczniku o dziurawym api Allegro i jego konsekwencjach, pomyślał bym, że ten email od Allegro to próba phishingu ;))

  28. Myślę że to chyba nowy trend przechowywanie haseł w plaintext-cie powinniście teraz wszyscy zmienić na plaintext. Przecież nawet Allegro tak używa!

  29. A to im się udała aktualizacja:)

  30. ale zabawne, mam 4 konta z czego jedno intensywnie wykorzystywane do sprzedaży (wyłącznie). I tylko na to konto przysłano mi informację, że będzie zmiana haseł. Czyli ta część użytkowników to oznacza wszystkich przejawiających aktywność przez ostatnie x dni? Pozostałe konta nie były używane ok 2 tyg i na nie nic nie przyszło. Nie ma to jak PR-owskie bzdury ;)

  31. Po aferze z wyciekiem haseł z wykopu, mam w każdym ważnym dla mnie serwisie inne hasło. Przynajmniej tak się zabezpieczyłem.

  32. @Mariusz, nie. Ja używałem konta (sprzedaż i kupno) w ciągu ostatnich paru dni i nic nie przyszło. Do ojca, który ostatnio miesiąc temu coś kupił, przyszedł email.

  33. ten temat powinien Was zainteresować. :> http://allegro.pl/help_item.php?tid=34&item=35&zoom=N

    Ile razy można czytać o tym, że dane przechowywane przez grupę allegro są bezpieczne?

  34. Porażające niedbalstwo. Rozumiem błędy . Ale żeby hasła nie zahaszować !!!!!!!!!

    • Polo (i reszta): wierzymy, że Allegro na pewno ma jakiś dobry powód. Mamy nadzieję, że niebawem p. Patryk odniesie się do tej kwestii i rozjaśni powody niehashowania — dajcie mu szansę, w końcu są sytuacje, gdzie brak hashowania może być pomocny (i może prowadzić w ogólnym ujęciu do zmniejszenia ryzyka ataków na webaplikację). Pproszę nie pytać, co przez to rozumiem, na razie sobie trochę pomilczę.

  35. Jeśli te hasła są trzymane w czystym tekście – może jest ku temu jakiś powód. Interesuje mnie czy czytelnicy niebezpiecznika będą w stanie wykombinować sensowne powody (odpowiedź: nie ma żadnego powodu to nie sensowny powód :) dlaczego w takim serwisie może być przydatne trzymanie haseł w czystej postaci – z perspektywy biznesowej/logicznej – a nie “dla radości i dużych słowników”.

    Oczywiście, ze świadomością zagrożeń jakie niesie takie rozwiązanie. To trochę zadanie na kreatywność i wyjście poza ramy myślenia tak często obecnego w umysłach ludzi młodych i niedoświadczonych ;], że coś musi być bezpieczne – bo musi być bezpieczne.
    Pokombinujcie tylko z głową :]

  36. a) ciągłe logowanie i przekształcanie plaintextu do md5(lub czegoś innego)+solenie z pewnością zaburzyłyby pracę serwerów znacząco je obciążając ;P

    b) żeby pan z infolinii miał co robić w wolnym czasie(via facebook i podglądanie prywatnych danych userów, w wolnym czasie)

    c) w celu weryfikacji poprzedniego hasła(aczkolwiek co za problem napisać skrypt, który odpowiednio posoli dane wprowadzone przez BOK?)?

    d) Nie warto narażać serwerów na włamania, pracowników na socjotechników itp. Lepiej jest pozostawić dane w czystym tekście i wysyłać je każdorazowo, gdy ktoś o to odpowiednio poprosi(wink slavkowski).

    natomiast myśląc abstrakcyjnie… zastanawiam się co jest gorsze… poznanie kilku milionów choćby niesolonych hashy czy kilka milionów czystych haseł…
    z jednej strony mamy od razu, dość spory słownik popularnych w Polsce haseł i na jego podstawie można wygenerować różne hashe +statystykę, następnie sprzężyć z innymi bazami i… viola z kilku milionów pojedynczych haseł robi się kilka baz :>
    z drugiej strony mamy identyczną kwestię ale z hashami, które można od razu sprzężyć z innymi wyciekami-baz, wyciągnąć części wspólne(o ile nie ma żadnych soli).

    Jakbym do tego nie podchodził… brakuje mi istotnego elementu “solenia”, odpowiednie solenie +(hash +hasło) +hash powinny załatwić sprawę…?

    ps. Allegro ma przerwę techniczną, czyżby wprowadzali kolejny extra feauture? ;p

  37. […] 25 listopada 2010 przez: Konrad Karpieszuk Jeśli jeszcze nie widzieliście, to zobaczcie jak bardzo Allegro nawaliło dzisiaj. Okazało się, że użytkownikom ich webapi udostępniało wszystkie […]

  38. Plaintext ma jedną zaletę – tylko jedna kolizja, ze samym sobą. Teoretycznie hash może mieć n->inf kolizji, więc plaintext jest nieskończenie bezpieczniejszy ;)

  39. “Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć. ”
    No to trzeba je zabezpieczyc czy usunac? :)

  40. 1. Hasło jest prawdopodobnie trzymane w plaintexcie jako jeden ze środków wykrywania multikont (hash nie wskaże podobieństwa przy hasłach np. kura1, kura2, kura3).

    2. Każdy dostęp do danych osobowych jest prawdopodobnie notowany (zgodnie z wymogami GIODO) – dlatego maila dostali tylko Ci, których dane zostały przesłane razem z hasłem.

  41. Ten “wyciek” to po prostu forma promocji nowej akcji kupowania bez rejestracji. Brak rejestracji->brak hasła->brak problemów.

  42. Nic nie rozumiem :D
    Dziś przy logowaniu poproszono mnie o zmianę hasła, grzecznie zmieniłem. Ale zalogować się nie mogłem na nowym haśle. Ale na starym jak najbardziej :) Wiecie jak to działa, że tak się zachowuje?

  43. “Za przechowywanie haseł w plaintext powinni karać. ;) Wiadomo, że większość osób używa takich samych haseł, a serwisy robią coś takiego(to świadczy, że administratorzy mają gdzieś użytkowników). Wprowadzenie szyfrowania nie jest jakimś szczególnie trudnym zadaniem.” by @lukasz 2010.01.22 16:25 – https://niebezpiecznik.pl/post/32-miliony-hasel-wycieklo-jakie-jest-najpopularniejsze/

    Coś w tym jest, jakieś poszanowanie danych musi być.

  44. Mogą wyszukać hasła o podobnych hasłach, a nie tylko identycznych co miałoby miejsce w przypadku ich zahaszowania. Szczegóły zachowam dla siebie ;)

  45. * Mogą wyszukać konta… miało być.

  46. Myślę (z doświadczenia trochę), że potrzebują plaintextu, aby ‘na żywo’ sprawdzać powiązania kont. W jednej ze spraw, w której brała udział prokuratura i policja widziałem pismo od Allegro gdzie napisane było m.in. ‘konta należą do jednego użytkownika, wskazuje na to: logowanie z tych samych adresów IP, etc. etc. – _podobieństwo lub identyczność haseł_…’. Kto wie po co jeszcze? :P

  47. Heh, a jak byłem na jednym z OWASP-ów na których wypowiadał się pracownik Allegro to wyglądało tak pięknie, oczka mu się świeciły jak to serwis bezpieczny. A tutaj co? Podstawowych standardów bezpieczeństwa brak? No ale Akademia PARP ma to samo.

  48. Heh, a jak byłem na jednym z OWASP-ów na których wypowiadał się pracownik Allegro to wyglądało tak pięknie, oczka mu się świeciły jak to serwis bezpieczny. A tutaj co? Podstawowych standardów bezpieczeństwa brak? No ale Akademia PARP ma to samo.

  49. a ja nie chciałem tego tak wprost pisać ;)

  50. Były kiedyś informacje że alegro trzyma hasła nie zahaszowane. I co? nic z tym nie zrobili? To jest kolejny przykład jak dbają i dopieszczają swoich użytkowników. Przyjdzie czas ze ludzie przejdą do innych portali jak np. http://www.swistak.pl, http://www.aukcjusz.pl ! Cesarstwo rzymskie też upadło.

  51. no, ja własnie hasło zmieniłem… no i dostałem od allegro maila:

    Witaj OstraLala19!

    Twoje hasło w Allegro zostało zmienione.
    Zmiany hasła dokonano 25-11-2010 09:05:56 z komputera o numerze IP 198.123.221.192

    Przydatne informacje
    Allegro wysłało do Ciebie ten e-mail wyłącznie w celach informacyjnych. Jeżeli jednak nie dokonywałeś zmiany swojego hasła w Allegro, prosimy o informację: kontakt z obsługą Użytkowników

    Pozdrawiamy,
    Zespół Allegro
    Kontakt z obsługą Użytkowników

  52. ok cfaniaczki to teraz po co robią coś w stylu select * na byle operacji?
    po co im data rejestracji, czy mój telefon?

  53. Czyli możliwość łatwego powiązania kont poprzez podobne hasła przy tych kilkudziesięciu/kilkuset sprawach rocznie jest ważniejsza od bezpieczeństwa wszystkich kont? Jakieś marne uzasadnienie.

  54. Nie dajcie się zwieść, że WebAPI wymaga rejestracji.
    Jest także darmowe WebAPI do testowania i też pewnie można było wyciągnąć przez to.

    Arek

  55. Ciekawa sprawa. W jaki sposób sprawdzili, że _TYLKO JEDEN_ programista podglądnął co się dzieje? To taki problem logować wszystkie błędy z webapi? :>

  56. @drzemik, @łukasz, @plucien: Dooookładnie i gratulacje :]

  57. […] się nickiem “slavkowsky”. To właśnie on wysyłał informację o błędzie do serwisu Niebezpiecznik.pl: Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka […]

  58. taaaa allegrat zawsze ma najbardziej optymalna dla siebie wymówkę na potrzeby mediów. a to ze wykryli na czas, a to że nikt nic nie namieszał, a to że już zgłosili sprawę do prokuratury. jednak realia są inne – ile to już naczytałem się o niekompetentnym podejściu allegro do poszkodowanych użytkowników. sam zostałem przez ich ynteligentny system raz oszukany – naliczyli mi kasę za wystawienie czegoś na aukcji, a ja nawet nie miałem konta u nich, dopiero dowiedziałem się o tym jak stworzyłem autentyczne (okazał się że to już drugie na moje dane). i to też było spoko – kopiłem nawet 3 rzeczy, ale jak tylko wystawiłem coś na sprzedaż to zablokowali błyskawicznie. Zgłosiłem sprawę do niebieskich a mendy jak to mendy że jak nie odpuszczę to ja będę miał problem. Ani nie udowodnili mi winy (no bo jak?) nawet nie chcieli słuchać o wyciągu logów, IP… najwidoczniej te pojęcia są za trudne dla naszych dzielnych mundurowych którzy aż palą się do łapania przestępców… pijanych na rowerach.

  59. sam policjant z komendy w Skierniewicach powiedział mi, że ludzie zakładają po kilka kont na te same dane tylko np dodadzą kropkę na końcu nazwiska. I TO JEST WEDŁUG ALLEGRO OK!!!!!!!!!

  60. O… A mi po zmianie hasła ręcznie wczoraj, Allegro teraz każe zmienić jeszcze raz… Normalnie wulgarność hasła pójdzie w górę o rząd…

  61. Co nie zmienia faktu, że mogą hasła trzymać w plainie w osobnej bazie, z dostępem jedynie dla procedur wyszukiwarki multikont, a uwierzytelnienia i dostęp dla webAPI tylko do bazy z haszami.

  62. W znaczeniu, że powinni właśnie tak trzymać hasła, jeśli już chcą trzymać w plainie (ale jak widać mają tylko jedną bazę z hasłami, w plainie)

  63. zgadzam się że jest przynajmniej kilka rozwiązań, procedur zwiększających bezpieczeństwo i pozwalających nadal trzymać hasła w plaintext. Tak żeby ew. błąd w aplikacji nie pozwolił uzyskać nam dostępu do tak istotnych informacji jakim są m.in. hasła. Także fakt jest oczywisty że takiej firmie jak Allegro nie przystoi bez wstydu przyznawać się do tak niskiego poziomu świadomości w kwestiach bezpieczeństwa.

  64. @gadulix

    Wlasnie tak bym to sobie wyobrazal – osobna baza z dostepem do odczytu wylacznie z back office, a z glownej bazy produkcyjnej wylacznie update/insert. Dodatkowa zaleta to mozliwosc latwego przechowywania historii zmiany hasel.

  65. Co za mózgi w tym Allegro… Tak jak pisałem wyżej – wczoraj sam z siebie zmieniłem hasło po otrzymaniu mejla (co do którego oczywiście na Allegro nie ma nadal wiadomości i gdyby nie Niebezpiecznik to byłbym zdania, że to marny phishing…) – po zalogowaniu nie wołało o zmianę. Dziś chyba dali jakiś większy reset, bo Allegro poprosiło o nowe hasło… To co, codziennie nowe?
    :-)
    Współczuję mniej świadomym użytkownikom, a takich przecież na Allegro jest większość. Będą zagubieni. Jeżeli są w miarę ogarnięciu, sprawdzą na Allegro.pl czy ten e-mail/wołanie o hasło nie są próbą oszustwa i w dziale Nowości i komunikaty na głównej co zobaczą?
    Już można kupować bez rejestracji!

    Bardzo pomocne… Nie wiem za co Rzecznik bierze pieniądze. Miał cały dzień, żeby ułożyć jakiś zjadliwy, nie wzbudzający strachu komunikat o hasłach. Cokolwiek, co uspokoiłoby kompletnego dyletanta w tej kwestii. Oczywiście nie ma żadnej informacji…

  66. “nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują” – nie chciałbym być nie miły ale czy możemy napisać, że to oksymoron ? ;]

  67. Ciekawy komunikat przy zmianie hasła na Allegro: “Hasło jest zbyt długie”, a w pomocy napisali “Hasło nie może mieć więcej niż 16 znaków.” Jednak to nic, Kredyt Bank w swojej bankowości elektronicznej pozwala jedynie na hasło składające się z dokładnie 6 liczb

  68. A tak się zastanawiałem dlaczego rano Allegro “sforce’owało” mnie, żeby zmienił hasło :P Teraz już wszystko jasne.

  69. Czyżby kolejny przypadek danych głęboko ukrytych? ;-)

  70. Więc i tak trzymają część haseł użytkowników jako plain text…
    Mówią, że szyfrują hasła ale nie podkreślili jakie :) Może jedynie hasła administratorów?

  71. A ja znam serwisy które nie pozwalają w haśle użyć np ‘,`,@,/ etc.. może mi ktoś lakonicznie wytłumaczyć w jakim celu takie zabiegi są stosowane?

  72. Dodam, iż np linuxpl.com tłumaczył to tak, że ‘PHP źle interpretuje te znaki” ??

  73. Ja już od około 2 tygodni staram się ustalić, kontaktując się z obsługą Allegro dlaczego ??? nie działa moje hasło, którego nie zmieniałem !!!, co powoduje że nie mogę korzystać ze swojego konta. Przecież przechowywane są tam informacje o moim nazwisku, adresie itp. Cały czas dostaję odpowiedzi że podaję zły login albo hasło, krótko mówiąc Allegro mnie olewa !!!. Zaczynam podejrzewać że mają tam spory bałagan, skoro dzieją się takie rzeczy. Będę walczył do skutku ale radzę uważać.

  74. I znów trzeba zmieniać hasła… Jeśli np używamy długiego i poszczególne portale mają jedynie hash to w przypadku przecieku jesteśmy wa miarę bezpieczni ale jak leci czystym tekstem to nie zależnie od długości hasła wszystko poszło się… nie zdążymy nawet go zmienić. Eh allegro nie popisało się!

  75. Masakra. Sam mam 18 lat i gdy się zabieram za jakiekolwiek programowanie w takim PHP, to robię chociaż marne hashowanie haseł na zasadzie: whirpool(HA_jakiś_marny_i_bardzo_dlugi_salt_SŁO)… ale sorry, przecież ja młody jestem i się nie znam :F

    Nie pojmuję takich ludzi. Serwis na całą polskę, kto wie ile tam kont jest, a oni śmią hasła tekstem trzymać? Ja może dziwny jestem, ale zawsze myślałem, że “hasło” z definicji to coś co ma być bezpieczne, niewidoczne dla kogokolwiek (pomińmy jakieś bruteforce na hashach…). Ale dobrze, że się dowiedziałem… mam jedno trudne hasło na ważniejsze rzeczy i byłoby nie fajnie gdybym się tam z nim zarejestrował.

  76. “Wyjątkowe obszary” – czyżby kolejna wersja ‘głębokiego ukrycia’ albo ‘członków w dupie’? :)

  77. …nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują w paru obszarach serwisu…

    Ale to jest oficjalne stanowisko? Przecież te dwa zdania przeczą samym sobie.
    Jeśli “występują w paru obszarach serwisu” to przecież znaczy, że ” są przechowywane w czystym formacie tekstowym”.

    Czy Niebezpiecznik może poprosić Allegro o jakieś wyjaśnienia?

  78. Tlumaczenia rzecznika to sciema, juz pare lat temu dostalem info, ze jest pelen podglad do hasel uzytkownikow, ze strony obslugi Allegro np. NOCnikow :)

  79. Rozmawialiśmy sobie w robocie na ten temat. Być może hasła w bazie są szyfrowane, ale na potrzeby …. czegoś? są odszyfrowywane i wrzucane do obiektu użytkownika.

  80. Ludzie, ja jestem testerem w sporej firmie i prawda jest taka, że na testy potrzeba co najmniej tygodnia a nacisk sprzedaży jest taki, że nie można czekać. mamy dac i koniec, więc nie raz po 2-3 godz testów produkt idzie do klienta (raczej poprawki a nie sam produkt) ale prawda taka że bezpieczeństwo i to co ja bym chciał z kumplami z testów zrobić a wymogi rynku to 2 inne rzeczy. Czasami warto ponieść ryzyko by być pierwszym…
    Rozumiem to chociaż jako tester nie pochwalam.

  81. assassyn: Zapewne chodzi o filtrowanie wprowadzonych do formularza danych – “niebezpieczne” (elementy składni sql) znaki są .poddawane przeróżnym operacjom co ma wpływ na wygenerowany hash. W skrócie: wraz ze zmianą filtra, hashe generowane dla tego samego ciągu wejściowego mogą się różnić.

  82. Czyli innymi słowy – hasła nie są w plaintext’cie, są – co prawda, ale nie są.

  83. Na szczęście nie mam tam konta.

  84. Moze mi ktos wytlumaczyc jak trzymajac w bazie hash hasla (bedacy przeciez hashowany funkcja dzialajaca jednokierunkowo) w jakiejkolwiek czesci serwisu moze ono wystapic w plain tekscie? Allegro robi brute force albo korzysta z tablic teczowych na potrzeby wewnetrzne? ;>

  85. Do mnie nic o zmianie hasła nie przyszło więc moje chyba nie wyciekło.
    Jeżeli by jednak przyszło, to prawdopodobnie złożyłbym zawiadomienie o podejrzeniu popełnienia przestępstwa.

    Dopóki moje dane nie wyciekną(tzn dopóki się o tym nie dowiem) to wisi mi jak te dane trzymają(to ich sprawa/problem).

  86. Google mówią, że to niejakie CTINET jest wykonawcą webapi dla Allegro [link]http://www.ctinet.pl/portfolio/2010[/link]

  87. “wyjątkowe obszary” omg… co za bdzurna odpowiedz. koles pewnie myli SSL z szyfrowaniem samego hasla w bazie… zamiast przyznac sie do bledu i obiecac poprawe.

  88. “Być może hasła w bazie są szyfrowane, ale na potrzeby …. czegoś? są odszyfrowywane i wrzucane do obiektu użytkownika.”

    Na potrzeby czego? Pozatym hashowanie jest fcją jednostronną (w przeciwienstwie do szyfrowania), wiec proces odzyskiwania hasla z hashu nazywajmy tak jak sie przyjelo: łamanie / crackowanie

  89. “Na potrzeby czego?”
    Jakbym tam pracował to bym Ci odpowiedział na potrzeby czego ;)

    “Pozatym hashowanie jest fcją jednostronną (w przeciwienstwie do szyfrowania)”
    A przepraszam – pisałem o hashowaniu czy o szyfrowaniu? ( wg mnie tutaj “Być może hasła w bazie są szyfrowane” jest _szyfrowanie_ ), więc po co mi tłumaczysz czym się różni jedno od drugiego?

  90. Uzasadnienie dla przechowywanie czegokolwiek w plaintekście, np. żeby sprawdzać podobieństwo haseł, jest też bzdurne. W takim wypadku w (dobrze zabezpieczonej) bazie dane powinny być zaszyfrowane (dobrze zabezpieczonym) kluczem symetrycznym, który powiedzmy jest wymieniany raz na miesiąc.
    To do czego dopuściło Allegro nawet nie jest śmieszne, to jest tragiczny sposób “zabezpieczania” danych klientów.

  91. Warto zwrócić uwagę na to, że wypowiedź rzecznika nie musi być nielogiczna. Wszystko zależy od tego na jakim poziomie abstrakcji na to spojrzymy. Jezeli zeskrobiemy surowe dane z dyskow twardych systemow bazodanowych Allegro prawdopodobnie nie odnajdziemy tam tych hasel. Dane, w tym hasła będące w bazie mogą być szyfrowane na poziomie systemu plikow lub systemu bazodanowego i dla samej aplikacji być czytelne i wygladac jak plain-text.
    Jak niektórzy przedmówcy wspominali, dostęp do hasla powinien byc ograniczony do konkretnych użytkowników bazy danych (konkretnych funkcji/metod/klas aplikacji) i niedostepny przez np. blednie napisane webapi lub trojana w allegrowej aplikacji (niczego nei mozna wykluczyć). Aplikacja i kazdy jej skladnik powinien byc kuloodporny na bledy innych modulow, uzytkownikow lub programistow.

  92. Wyjaśni mi ktoś jak to jest, że po zmianie hasła w Google Chrome, będąc jednoczenie zalogowanym w Internet Explorerze, mogłem w tej drugiej przeglądarce korzystać w Allegro?!

  93. @Piotr Konieczny
    ofc nie miałem na myśli statystyki haseł “na potrzeby Allegro”, a potencjalnego wykradacza… :>

    plucien może mieć rację, aczkolwiek dla mnie osobiście możliwość podglądania haseł użytkowników nawet nie równoważy ew. konsekwencji wycieku danych… niehashowanych.

    Niedługo w filmach o mafii nie będzie wtyczek u operatorów GSM namierzających/blokujących telefony celów, a skorumpowani pracownicy allegro sprawdzający hasło do konta/dane osobowe. :> Następnie, w ostatnich minutach mega-hitu, mafia będzie czyścić konta bankowe przy użyciu uzyskanych danych. :P

  94. W ramach poprawy jakości hasła będą teraz kodowane ROT13 :D :D :D

  95. @Tomasz
    Po poprawnym wprowadzaniu hasła rozpoczyna się sesja. Dopóki się nie wylogujesz śmigasz… Swoją drogą ciekawe pytanie jeśli chodzi o banki. Powiedzmy, że chcę zmienić hasło a ktoś już tam śmiga na moim starym to czy zmiana automatycznie go wyloguje…
    Przydałby się przycisk rodem z Google – “wyloguj z pozostałych sesji”.

  96. […] Szczegóły techniczne dziury, jak i marketingowy miodzik ze strony Allegro.pl można znaleźć u źródła to jest tu: https://niebezpiecznik.pl/post/powazny-blad-w-allegro-umozliwial-poznanie-hasel-uzytkownikow […]

  97. @Tomasz: ponieważ w IE byłeś już zalogowany, ergo: byłeś uwierzytelniony (tzn. konkretnie sesję miałeś uwierzytelnioną).

  98. […] osobą jest najprawdopodobniej użytkownik slavkowski, który poinformował o całym zajściu blog Niebezpiecznik, zajmujący się tematyką bezpieczeństwa w […]

  99. Allegro to duży serwis i nie powinno się coś takiego zdarzyć. Z drugiej strony doświadczenie wszystko tłumaczy. Zdarzały mi się już sytuacje, że nie wolno mi było użyć haseł (jestem programistą) inaczej niż w plain text, bo: project manager nie rozumie hashowania / uważa salt za coś niedorzecznego, co sobie wymyśliłem / stwierdza, że skoro tylko ja wiem o co chodzi, to koszt utrzymania będzie za duży jak ktoś inny będzie musiał się tym projektem zająć po mnie, czy ze mną / niepotrzebny dodatkowy koszt. Kolejna sprawa jest taka, że czytelnicy Niebezpiecznika to mniejszość w populacji użytkowników komputerów. Ludzie wolą, by przesłać im maila ze starym hasłem, niż przesyłać linka do resetowania “z jakąś skomplikowaną procedurą”. Były też poważne systemy, gdzie hasła administratora były typu qwe123, bo jakiś pracownik (przeważnie po stronie klienta) inaczej nie zapamięta. Powiem więcej – z projektów, które realizowałem, jakiekolwiek zabezpieczenie danych było jedynie, gdy samodzielnie projektowałem rozwiązanie I miałem wolną rękę w tej kwestii; przeważnie jednak brak co najmniej 1 z tych 2 czynników zmuszał mnie do zaciśnięcia zębów i odwalania tandety.

  100. @Marcin zmień pracodawcę, albo niech on zmieni PM-a.
    Jeśli nie szanują kompetencji technicznych, to najpewniej znaczy też, że za nie nie płacą.

  101. @Tomasz
    pewnie w sesji mają $zalogowany = ‘true’ i jak sobie ustawisz to śmigasz :D

  102. Dzięki chłopaki (to jest poprawna forma). Dostałem od was 3 takie same odpowiedzi (oczywiście napisane przez różne osoby). Domyślam się, że jeżeli nie podziękuję, to będę otrzymywał następne… Więc raz jeszcze dziękuję!

  103. Witam,
    Mi w tym tygodniu skradziono konto. Ktoś zmienił hasło i adres e-mail konta po czym zaczął wystawiać aukcje oraz podawać nie mój numer konta bankowego. Na szczęście miałem ustawione powiadomienia na gg, więc jak dostałem info, że coś sprzedałem szybko zorientowałem się, że konto zostało przejęte. Zgłosiłem sprawę administracji, która zablokowała konto, a sprawę musiałem zgłosić też na policji.

    Zastanawiałem się jak ktoś mógł przejąć moje konto, bo hasło nie należało do tych “tradycyjnych”. Było dość skomplikowane. Teraz podejrzewam, że hasło zostało zdobyte w wyniku tego wycieku…. no ale pewności nie mam.

  104. Z zacytowanego maila: “Pozwoli to zachować wysoki poziom bezpieczeństwa w serwisie.” – użycie słowa zachować oznacza, że obecnie mają wysoki poziom :D

    Ktoś wspominał coś o GG a popatrzcie na serwery jabbera… A potem na to jak jest przesyłane hasło po kablu…

  105. Jestem w szoku !
    Przede wszystkim po odpowiedzi rzecznika Allegro, choć niektórzy forumowicze też piszą o rzeczach na których się nie znają. Przede wszystkim należy rozróżnić dwie rzeczy: szyfrowanie od funkcji skrótu (ang. hash). Jeśli chodzi o szyfrowanie to mamy algorytmy symetryczne (np. DES, AES, itp.) i asymetryczne (np. RSA). Żadna z metod szyfrowania nie powinna być jednak stosowana do przetrzymywania haseł. Dlaczego ? Bo najzwyczajniej przy każdej z metod szyfrowania istnieje klucz do ich rozszyfrowania. Istnieje więc bardzo poważne niebezpieczeństwo wyniesienia wszystkich haseł Allegrowiczów, np. gdy admin Allegro zostanie zwolniony, albo też gdy jakiś developer aplikacji Allegro wpadnie na głupi pomysł przetrzymywania gdzieś haseł w postaci niezaszyfrowanej – co jak widać miało chyba miejsce…
    WSZYSTKIE hasła w poważnych systemach informatycznych muszą być przechowywane tylko i wyłącznie w postaci ZAHASHOWANEJ (np. SHA-2) ! Funkcje skrótu są jednokierunkowe, co oznacza, że jeśli hasło zahashujemy (koniecznie dodając również jakiś znany od strony Allegro losowy ciąg znaków), to nie ma żadnej metody na odzyskanie oryginalnego hasła, nawet jeśli wszystkie funkcje skrótu wyciekną do Internetu. A sprawdzenie czy użytkownik podał prawidłowe hasło odbywa się poprzez porównanie czy obie funkcje skrótu (wprowadzona przy logowaniu) oraz w bazie Allegro zgadzają się. Jeśli nie zgadzają się to wiemy, że użytkownik podał złe hasło. Kropka.

    Dziwi mnie więc odpowiedź rzecznika o “zaszyfrowanych hasłach”. Dlatego jeszcze raz powtórzę – HASŁA NIE MOGĄ BYĆ PRZETRZYMYWANE W POSTACI ZASZYFROWANEJ – HASŁA MUSZĄ BYĆ HASHOWANE. Dla mnie to jest jakaś kompletna kompromitacja Allegro.

  106. @Rob97
    Niestety istnieje możliwość łamania hash’y – dysponując oczywiście ogromną mocą obliczeniową – przytoczę tu dobrze znany projekt RainbowCrack

  107. @Krzysztof
    Jeśli algorytm hashujący jest stosunkowo słaby (MD5, SHA1) jak na obecne czasy – to być może da się za pomocą jakiejś olbrzymiej sieci rozproszonej próbować łamać hasło. Przy SHA-2 nie ma obecnie takiej możliwości.

  108. @Rob97
    Zgoda, ale wyłącznie przy założeniu że hasła są solidnie solone a włamywacz soli nie zna…
    Biorąc pod uwagę w/w przypadek chyba mało kto to robi… dodając fakt, że ludziska mają 5-6 znakowe hasła w najlepszym przypadku z dodanym sufixem w postaci daty urodzenia da się to odwrócić, wystarczy spojrzeć na komentarze po wpadce filmwebu ;)

  109. @Krzysztof
    Zgadza się. Jeśli ktoś stosuje proste, krótkie hasła, to niech nie oczekuje że jego konto będzie bezpieczne, bo po prostu można zastosować atak słownikowy – ale pod warunkiem oczywiście, że atakujący zna sól… Dotyczy to każdej funkcji skrótu, nawet najsilniejszej i tych wszystkich, które jeszcze nie powstały.

  110. Skoro o Allegro w temacie to nie będzie wielkim offtopem jak tutaj napiszę co się dziś mi przydarzył.
    Otóż jestem sprzedawcą i sprzedaję trochę za pośrednictwem tego serwisu. Przed około 30 minutami sprawdziłem konto w celu sprawdzenia jakie wpłaty na konto zostały już zaksięgowane i jak się zdziwiłem, kiedy zobaczyłem, że mam 6 wpłat od użytkowników, którzy nigdy nie brali udziału w moich aukcjach. Dobrze, że przy każdej wpłacie był podany numer aukcji, więc sprawdziłem jakich aukcji dotyczyły wpłaty… no i okazało się, że są to aukcje innych sprzedających.
    Wiadomości przy wpłatach nie wyglądają jak te z Płacę z Allegro… wyglądają tak jak by kupujący robili zwykłe przelewy ze swoich kont.
    Oczywiście problem został już zgłoszony do Allegro.
    Piszę bo chciałbym poznać skale problemu… czy wpłaty, które ja mam otrzymać też przypadkiem nie wylądują u kogoś innego, mniej uczciwego, kto nie zgłosi tego do serwisu :/

  111. Sory za zamieszanie, ale to chyba problem mBanku raczej niż Allegro więc można nie publikować powyższego komentarza.

  112. […] czarny tydzien ogarnął polskie firmy. Najpierw spory wyciek danych zaliczyło Allegro, potem Plus GSM “skradł” swoim klientom środki z kont, a teraz mBank całkiem […]

  113. […] na to, że kontunuujemy czarny listopad polskich firm: do dużych firm z dużymi błędami. Do Allegro, Plus GSM, mBank) dołącza Gadu-Gadu… kto będzie następny? Jeszcze mamy kilka godzin do […]

  114. […] ING na listę popularnych w Polsce firm, które zaliczyły poważne awarie pod koniec listopada (Allegro, Plus, mBank, Gadu-Gadu). Plamy na słońcu, czy […]

  115. Jaki jest sens trzymania hasel w wielu miejscach? API to API – są metody uwierzytelniające i można ich używać w wielu aplikacjach. problem pewnie dotyczył wszystkich serwisów allegro w innych krajach

  116. […] zaawansowanemu, 2-składnikowemu uwierzytelnieniu, nawet jeśli zdarzy się tak, że nasze hasło wycieknie albo ktoś je nam wykradnie/podsłucha — to atakujący nic nie będzie w […]

  117. […] Zadziwiony wiadomością Jacek, świadomy użytkownik komputera, oświadczył nam, co następuje: “jestem przekonany (przekonanie graniczące z pewnością…), że mój komputer nie jest zainfekowany (wszystko co trzeba chodzi w tle i na bieżąco jest aktualizowane… regularnie pełne skanowanie systemu itp.) śmiem przypuszczać, że poniższe to jakaś “zasłona dymna” Allegro – czyżby znowu wyciekły im hasła?” […]

  118. […] haseł to problem nie tylko GUS-u — jeśli czytacie Niebezpiecznika, to wiecie że zdarza się to najlepszym i żeby się ochronić przed potencjalnym wyciekiem haseł zawsze powinniście […]

  119. wielkie puste głowy z allegro wprowadzaja wiele zmian a nie umieja nawet bezpiecznie tego zrobic pajace

  120. […] wykluczam też, że jakiś zły haker postanowił po raz kolejny wykorzystać kolejną dziurę w zabezpieczeniach serwisu i dobrać się do jego zasobów. Pozostaje nam na razie czekać na reakcję […]

  121. Alle bzdury, jak zwykle. W darmowym Linuxie mechanizm PAm korzystaz hashowania SHA512 – proponuję spróbować na takim haśle spróbować John-the-Ripper albo tęczowych tablic, przyjemnej zabawy. :D A w Allegro, jak wszędzie, od bezpieczeństwa ważniejsze jest te kilka Mhz, jakie musi wydać procesor przy sprawdzaniu hasła. Tak samo jest z szyfrowaniem id sesji czy cookies, wszyscy znają suhosina, który to obsługuje, ale szyfrowanie to obciązenie systemu, to koszty, więc nie potrzebna, jakoś to będzie. Tak samo Gadu i inne serwisy. Co do jabbera, to obsluguje SASL – i przynajmniej w teorii powinien do autoryzacji szyfrowania i/lub hashowania. Sznurek: http://pl.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Tylko prawdziwy Jabber, a nie jakiś kastrowane klony w stylu Tlena czy AQQ, Ppodobnie ICQ, też obsługuje szyfrowanie, a bazujące na nim GG przez X lat szyfrowania nie potrzebowało. A Allegro jak zwykle najpierw olalo zabezpieczenia ze wzgędu na koszt, potem, nawet jak kasa się znalazła, to jak działa, to nie ruszamy, jakoś to będzie, a kiedy wreszcie mleko się rozlało, to trzeba wcisnąć jakiś bajer, żeby uspokoić sytuację. Czyli jak zwykle…..

  122. […] nasze wcześniejsze doniesienia: Allegro trzyma hasła użytkowników w plaintext (i przypomnijmy, że zazwyczaj tłumaczy się z […]

  123. […] „Poważny błąd w Allegro umożliwiał poznanie haseł użytkowników!” […]

  124. […] Przeczytaj także: Poważny błąd w Allegro umożliwiał poznanie haseł użytkowników […]

  125. […] Błąd w skrypcie forum mBanku, który pozwala pozyskać adresy e-mail użytkowników (np. możliwe, że na skutek błędu programistycznego e-maile użytkowników można było pozyskać ze strony profilowej danego użytkownika, a żeby zdobyć wszystkie wystarczyło przeiterować się po ID profili — taki błąd dotknął kilka lat temu użytkowników Allegro) […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: