11:02
2/1/2013

Jeden z naszych czytelników podesłał nam takiego e-maila:

Przy składaniu zamówienia w rockmetalshop.pl istniała opcja założenia konta — pomyślałem czemu nie? Ku mojemu zaskoczeniu dostałem maila potwierdzającego założenie konta, w którym widniało moje hasło?!

Sklep jak sam się chwali otrzymał 3 miejsce w rankingu money.pl a tu taka klapa.

Pomyślałem, że napiszę do nich:

Witam,
mam pytanie dotyczące polityki prywatności. Zarejestrowałem się na Waszej stronie i otrzymałem maila, w którym jest podane moje hasło. Świadczy to o tym, że hasła w Waszej bazie danych nie są szyfrowane i łatwo może dojść do przejęcia kont gdy dostęp do takich haseł uzyskają osoby trzecie. Dane te są przecież również chronione prawnie. Jakie jest Państwa stanowisko w tej sprawie?

Pozdrawiam,
K

Odpowiedź była zaskakująca:

“witam,
Podaje linka do artykułu w tej sprawie.
http://www.iai-shop.com/pr-press-release.phtml?id=1235324199”

Jak się okazuje IAI-Shop staje się w polskim internecie wzorcem do naśladowania (?!). Uważam, że należy jak najszybciej ukrócić ten proceder, więc odpisuję:

“Witam,
radzę zapoznać się z poniższym artykułem, który dotyczy tego co Pan przesłał: https://niebezpiecznik.pl/post/iai-shop-nie-hashujemy-hasel-bo-to-sie-nie-oplaca-naszym-klientom-mniejsza-obroty-grozi-stratami/
Pozdrawiam,
K”

W odpowiedzi otrzymuje:

“Witam,
Tak znamy ten artukół. Niestety My jako sklep nie mamy możliwości jakiejkolwiek zmiany w tym zakresie.”

Pisownia oryginalna ;) Ja się pytam co to znaczy “jako sklep nie mamy możliwości jakiejkolwiek zmiany w tym zakresie” ?! Jak to jest możliwe, że sklep, który otrzymuje nagrody w rankingach ma tak poważne luki bezpieczeństwa ?

Odpowiadamy czytelnikowi, dlaczego rockmetalshop.pl nie ma możliwości jakiejkolwiek zmiany, chociaż może i by chciał. Nie ma zmiany, bo właściciel oprogramowania, na którym działa ten sklep, czyli IAI-Shop.com, nie daje swoim użytkownikom takiej możliwości, ponieważ jego przedstawiciel twierdzi iż hashowanie haseł nie opłaca się klientom.

Ciekawe na jaką kwotę właściciel platformy IAI-Shop.com wycenia czas potrzebny właścicielom sklepów nań hostowanych do odpowiadania na e-maile w sprawie niehashowanych haseł. I czy ta strata jest mniejsza niż strata płynąca z ich hashowania? :)

Test redakcji wykazał, że oryginalne hasło do konta jest przesyłane klientowi poprzez formularz resetu hasła (“zapomniałem danych do logowania”)

ROCKMETALSHOP.PL

ROCKMETALSHOP.PL

a przy okazji:

RockMetalShop.pl

RockMetalShop.pl

Przypomnijmy więc na koniec, że najlepszą radą, niezależnie od tego czy dany sklep wysyła na skrzynkę pocztwą hasło plaintextem czy link do formularza do resetu hasła, jest stosowanie unikalnych haseł. Zasada “do każdego serwisu inne hasło” chroni nas jednak tylko przed wyciekami bazy danych z serwisów w których mamy konta i nie ma znaczenia, jeśli atakujący uzyska dostęp do naszej skrzynki pocztowej. Dlatego dostęp do e-maila najlepiej zabezpieczeyć podwójnym uwierzytelnieniem.

P.S. Do wszystkich bystrych czytelników ;) Tak, wiemy, że wysłanie hasła plaintekstem nie musi od razu oznaczać przechowywania go w tej formie po stronie serwera. Hasło może być np. szyfrowane symetrycznie. Te i inne niuanse techniczne opisaliśmy w szczegółach w tym artykule. Artykuł który teraz czytacie porusza kwestię typu “chciałbym podnieść bezpieczeństwo ale nie mogę, bo właściciel oprogramowania uważa, że to nieopłacalne i nie daje mi żadnego wyboru” I nie chodzi tu o IAI-Shop, który jest jedynie ilustracją do schematu: vendor oprogramowania vs. udostępnianie mechanizmów bezpieczeństwa dla klientów końcowych.

Aktualizacja
Czytelnik podesłał nam kolejny mail od ekipy rockmetalshop.pl

“Witam,
Piszę ponownie, ponieważ sprawa została poruszona na niebezpiecznik.pl
Mamy nadzieję, że firma IAI na której oprogramowaniu pracujemy weźmie to pod uwagę i ponownie pochyli sie nad tematem.
Pisaliśmy do IAI w tej sprawie zaraz po publikacji artykułu w poprzednim roku ale otrzymaliśmy tylko oficjalne wyjasnienie w komunikacie.
pzdr”

co wskazuje, że właściciele sklepu jednak chcieliby zmienić zachowanie swojego sklepu, ale nie mają takiej możliwości.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

20 komentarzy

Dodaj komentarz
  1. Szybko wyszukałem kilka haseł w swojej skrzynce, których używałem. Kiedyś (2010) zarejestrowałem się w serwisie dla kandydatów do SGH i też dostałem hasło swoje mailem.

  2. ” Zarejestrowałem się na Waszej stronie i otrzymałem maila, w którym jest podane moje hasło. Świadczy to o tym, że hasła w Waszej bazie danych nie są szyfrowane”

    Wcale nie świadczy o tym ze Twoje hasło nie jest szyfrowane w bazie danych…o.O

  3. A tak serio, czy nie powinna się tym zainteresować jakaś organizacja zajmująca się ochroną danych? (Poza Niebezpiecznikiem? ;P)

  4. Hm… hasło wysłane otwartym tekstem nie oznacza wcale, że nie jest ono zahashowane w bazie danych! Przykładowy pseudokod:

    persist_new_user(registration_form){
    insert_user(registration_form.login, registration_form.email, md5(registration_form.password));
    }
    send_information_email(registration_form){
    email.new.(registration_form.login, registration_form.password).send(registration_form.email);
    }

    Prawidłowy test bezpieczeństwa w tym przypadku powinien polegać na próbie odzyskania hasła!

    • I dlatego wykonaliśmy taką próbę – wyniki w aktualizacji powyżej.

  5. Już miałem pisać komentarz gdy przeczytałem notkę ‘dla bystrych’ lol ;) Może po prostu hasło wysyłają mailem przez php i jest ono potem zapisywane jako hash :) chociaż wątpię.. ciekawe co na to GIODO

    • Dlatego to najlepiej sprawdzić wykonując procedurę “resetu hasła”. Jeśli oryginał przyjdzie na maila, to powinno to być niepokojące.
      (Tak, szyfrowanie symetryczne w przypadku haseł też uważam za niepokojące ;)

      Samo wysłanie hasła mailem przy rejestracji to “niewielki” problem techniczny – ale jak widać, jest on problemem psychologicznym i wizerunkowym. Pewnie część sklepów chciałaby zmienić to domyślne zachowanie oprogramowania, ale nie ma — jak można wywnioskować z odpowiedzi rockmetalshopu — takiej możliwości…

  6. Przecież hasło mailem można dostać zaraz po ustaleniu jego, kiedy jeszcze jest w danych $_POST

  7. Rockmetalshop to skończone buce – korzystałem długo z ich programu partnerskiego, kilkakrotnie generowałem sobie za punkty bony na towary… a tu nagle ostatnio wyłączyli możliwość płacenia bonami, program partnerski stał się bezużyteczny, a uzyskanie jakiejkolwiek informacji na ten temat jest niemożliwe (odpowiedzi na maila nie dostałem od nich nigdy, telefonicznie zaś zawsze dowiaduję się, że “nie ma teraz osoby która się na tym zna”).

    • Tak kończą panczury.

  8. Jakbym był właścicielem tego sklepu i przeczytał taki ‘artykół’ to zaraz bym się zainteresował innym skryptem sklepu, jak chociażby prestashop. Ale po co sobie tyle roboty dokładać, przecież to nie nasze pieniądze, tylko klientów…

    • Przykro mi prestashop dziurawe ;C

      ;]

  9. A o szyfrowaniu kluczem symetrycznym kolega nie słyszał?

    No ale to raczej mało możliwe ;)

  10. “co wskazuje, że właściciele sklepu jednak chcieliby
    zmienić zachowanie swojego sklepu, ale nie mają takiej możliwości.
    ” To dlaczego używają tego IAI Shopa? Jest aż tak dobry/potrzebny,
    że jego twórcy mogą mieć na wszystko wylane i nie udostępniać tak
    podstawowej funkcjonalności, jak opcja hashowania
    haseł?…

  11. No to widzę, że IAI Shop ma inne podejscie jak w OScommerce. Tam hasło generowane jest automatycznie, a nie podaje klient, tak wiec nie bedzie takie samo jak do innych serwisów.

  12. Wysyłanie hasła na maila uważam za bardzo nie bezpieczne. Wystarczy, że ktoś nie wyloguje się z poczty, lub w inny sposób uzyskamy dostęp do poczty nie znając hasła jesteśmy w stanie je odczytać z przychodzących maili.

  13. E tam, nie dziwi mnie to juz. Taka sama sytuacja z wlacz.tv i paroma innymi serwisami.

  14. Hmm cóż, z innej beczki, ostatnio tylko dzięki dostępowi do
    maila koleś na czacie w kasynie internetowym William Hill wysłał mi
    nowe hasło do konta na tego maila. Wystarczyło trochę marudzenia.
    Nie wiem czy jakkolwiek było zabezpieczone, ale w sumie wystarczy
    przejąć czyiś mail.

  15. Dobrze, że o tym napisaliście, tj. o hasłach w plaintext.
    Teraz sklep przeżyje oblężenie gimbo-skiddies łasych na ich bazę
    danych :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.