22:21
13/6/2017

Możliwe było przejęcie konta Allegro mimo procedury weryfikacji dowodu, a właściwie… dzięki tej procedurze. Nowe dowody nie mają adresu i Allegro musi polegać na nazwiskach. Doszło do przynajmniej jednego przejęcia konta, ale mimo to, Allegro nadal będzie prowadzić weryfikacje żądając skanów dokumentów tożsamości.

Jak odzyskać swoje konto na Allegro?

Regularnie dostajemy od Was e-maile, w których skarżycie się na procedurę odzyskiwania konta w Allegro. Zdarza się, że przedstawiciele serwisu proszą o przedstawienie dokumentu tożsamości, co praktycznie oznacza zeskanowanie dowodu lub paszportu i przesłanie go im e-mailem. A obraz dokumentu to więcej niż dane osobowe, dlatego GIODO przestrzega przed praktykami tego typu. Niestety polskie przepisy nie zabraniają proszenia klientów o skan, toteż niektóre firmy wymagają skanów nawet wtedy, gdy wydaje się to zbędne.

Allegro ma, w tego typu prośbach, po swojej stronie 2 argumenty. Po pierwsze chodzi o bezpieczeństwo. Po drugie… takie są zasady i jak Ci się nie podoba to nie musisz korzystać z Allegro (ten drugi argument nigdy nie pada wprost, ale wszyscy to rozumieją).

Przejęcie konta Allegro skanem dowodu

Niestety pierwszy argument, mówiący o tym, że weryfikacja przez skan podnosi bezpieczeństwo, właśnie został osłabiony. Okazało się, że można (było?) przejąć konto Allegro dzięki weryfikacji dowodu.

Pewien nasz Czytelnik (CTO pilnujący bezpieczeństwa w jednej z firm) odkrył pewnego dnia ze zdziwieniem, że jego konto zostało przejęte przez inną osobę. Na komputerze nie mógł się zalogować. Spojrzał do aplikacji mobilnej Allegro i ze zdziwieniem odkrył, że widać tam inny adres e-mail (podobny do jego, ale w innej domenie).

Sprawy nie udało się załatwić przez infolinię, ale o dziwo Allegro odpowiedziało na Facebooku. Okazało się, że konto faktycznie zostało przejęte i to przez osobę, która… przeszła weryfikację dowodem osobistym! Ta osoba zgłosiła problemy z logowaniem i potem przesłała skan dowodu z właściwym nazwiskiem.

Nasz Czytelnik najpierw się przeraził i zastrzegł dowód. Później przyszło mu do głowy, ze konto mógł przejąć ktoś inny, kto miał po prostu podobne nazwisko. Znów zwrócił się do Allegro z prośbą o porównanie dowodów, ale po zakończonej weryfikacji Allegro usuwa obraz dokumentu (co jest godne pochwały).

Na marginesie, dlaczego nasz Czytelnik nie stracił dostępu do Allegro przez aplikację, po tym jak ktoś inny zmienił mu hasło na koncie?

Allegro się tłumaczy

Allegro po sprzeciwie naszego Czytelnika uważniej zbadało sprawę, zablokowało jego konto i wreszcie przesłało mu takie wyjaśnienia:

30 marca br. wpłynęło do nas zgłoszenie problemów z logowaniem  i ustaleniem nowego hasła do konta. Administrator serwisu w odpowiedzi na pytanie o login otrzymał informację, że chodzi o konto (…). Pracownik wskazał, że problem z ustaleniem nowego hasła może wynikać z nieaktualnych danych na koncie i poinformował Użytkownika, że istnieje możliwość ich aktualizacji po wcześniejszej weryfikacji skanu dokumentu tożsamości. Taki dokument otrzymaliśmy, nie budził on żadnych zastrzeżeń, odnotowano zgodność danych osobowych z przesłanego  dokumentu (imię, nazwisko) z tymi z ustawień konta (…) . Skan dowodu tożsamości został usunięty,  w ustawieniach wprowadzono aktualne dane podane przez Użytkownika, a on ustalił nowe hasło dostępu

Ale dalej Allegro tłumaczy naszemu czytelnikowi, że:

osoba, która zgłosiła do nas problem z logowaniem, podała błędną nazwę konta; w rzeczywistości różni się ona od nazwy Pańskiego konta (…) tylko jednym znakiem, popularnie stosowanym w tworzeniu loginów;

— imię i nazwisko Użytkownika, który zgłosił problem z logowaniem, są zbieżne z Pańskimi.

Co więcej, w wyjaśnieniach padają takie słowa:

Nie doszło do włamania na Pańskie konto w naszym serwisie, nie posłużono się Pańskim dokumentem, nikt się pod Pana nie podszył.

Wszystkie działania, zarówno ze strony Użytkownika zgłaszającego problem z logowaniem, jak i pracownika serwisu, były podejmowane w dobrej wierze i z jak najlepszymi intencjami.

Nasze możliwości weryfikacyjne z konieczności są nieco ograniczone – często Użytkownicy mają w dokumentach inny adres niż ten na koncie, a w dowodach tożsamości wydawanych od marca 2015 adres nie jest w ogóle ujmowany.

Teraz już wiemy co się stało, ale dlaczego nasz Czytelnik miał dostęp przez aplikację mobilną? I czy tylko on? Przecież po odzyskaniu konta, jeśli “klon” spiął z nim aplikację mobilną, to dalej będzie mógł z niego korzystać. Nawet jeśli nasz czytelnik zmieni do konta hasło. Dlaczego ten błąd występuje, tego Allegro do końca nie wyjaśniło. Ograniczyło się do zapewnienia, że tylko jedna osoba miała dostęp mobilny do przedmiotowego konta — właśnie nasz Czytelnik.

Tak czy owak pojawiły się poważne wątpliwości co do weryfikacji dowodów. Można przecież podrabiać skany dowodów, a zapoznanie się z imieniem i nazwiskiem Allegrowicza nie jest trudne. Wystarczy zawrzeć transakcję z tym Allegrowiczem. Teoretycznie więc, tą metodą można przejąć konto dowolnego Allegrowicza, fotoszopując fałszywy dowód osobisty na jego dane, albo po prostu go kupując. A taki zakup wcale nie jest trudny — koszt dobrze wykonanego “dowodu kolecjonerskiego” na dowolne dane, to od 350 PLN w górę. I tak, te dowody naprawdę wyglądają jak prawdziwe.

Jedno z ogłoszeń sprzedaży fałszywego dowodu osobistego

Jedno z ogłoszeń sprzedaży fałszywego dowodu osobistego

Niebezpiecznik rozmawiał na ten temat z Allegro. Oto odpowiedzi jakie otrzymaliśmy od rzecznika Michała Bonarowskiego.

Niebezpiecznik.pl: W ostatnim czasie GIODO krytykował praktykę wymagania skanów lub zdjęć dokumentów tożsamości. Czy Allegro ma zamiar ją stosować pomimo tych zastrzeżeń?

Allegro: Prosimy o okazanie dokumentu potwierdzającego tożsamość, tylko w przypadkach, gdy jest to niezbędne ze względu na bezpieczeństwo klientów i przeprowadzanych w Allegro transakcji. Po weryfikacji Użytkownika i zamknięciu sprawy załącznik z dokumentem jest automatycznie usuwany, a więc nie jest on dalej przetwarzany po wygaśnięciu celu przetwarzania.

Podstawą prawną pozyskania przez Allegro danych osobowych Użytkownika zawartych w jego dowodzie osobistym lub innym dokumencie potwierdzającym tożsamość, jest punkt 2.13 litera a Regulaminu Serwisu Allegro.pl. Proces weryfikacji użytkowników Allegro był objęty kontrolą GIODO. W przeszłości wniesiono do GIODO kilka skarg w sprawie przeprowadzanej przez Allegro weryfikacji dokumentów. Wszystkie te skargi zostały oddalone. Mając na uwadze powyższe nie planujemy rezygnacji z weryfikowania Użytkowników poprzez okazanie kopii dokumentu potwierdzającego tożsamość.

Czy nie powinna istnieć możliwość przesłania skanu dokumentu w inny sposób np. połączeniem szyfrowanym? Czy Allegro zgodziłoby się na przesłanie skanu dowodu kurierem?

Pracujemy nad tym, choć w tej chwili nie możemy podać konkretnej daty wdrożenia.  Oczywiście – nie mamy nic przeciwko przesłaniu kopii dokumentu za pośrednictwem kuriera

Czy Allegro posiada procedury, które zapobiegną przejmowaniu kont, jeśli ktoś posiada dowód z imieniem i nazwiskiem takim samym jak posiadacz konta?

Allegro posiada rozbudowane procedury zabezpieczające przed przekazaniem dostępu do konta osobie nieuprawnionej oraz przejęciom kont przez osoby nieupoważnione. Procedury te są ciągle udoskonalane. Opisany przez Pana incydent został przez nas dogłębnie przeanalizowany. Wyciągnęliśmy z tej sytuacji stosowne wnioski i podejmiemy odpowiednie kroki, aby podobna sytuacja nie miała już miejsca w przyszłości.

Czy Allegro rozważa inne metody weryfikacji.

Cały czas pracujemy nad tym, aby metody weryfikacji oraz odzyskiwania dostępu do konta były jak najbezpieczniejsze a jednocześnie najmniej uciążliwe dla Użytkowników. Obecnie, w przypadku utraty przez Użytkownika hasła do konta oraz braku możliwości ustalenia nowego poprzez podanie nazwiska panieńskiego matki, przesłanie kopii dokumentu potwierdzającego tożsamość nie jest jedyną metodą weryfikacji. Użytkownik może również potwierdzić swoje umocowanie do korzystania z konta poprzez wpisanie kodu przesłanego SMSem na numer telefonu znajdujący się w ustawieniach konta.

Nie wątpimy, że Allegro przyjrzy się tej sytuacji i wyciągnie z niej wnioski. Cieszy nas, że trwają pracę nad umożliwieniem przesyłania skanów kanałem szyfrowanym. Ale pozwolimy sobie na drobne czepialstwo…

Wskazany w odpowiedziach punkt 2.13 lit. a Regulaminu Allegro przewiduje możliwość uzależnienia korzystania z Allegro od “potwierdzenia przez Użytkownika odpowiednimi dokumentami jego wiarygodności, w tym tożsamości“. Problem w tym, że “potwierdzenie” nie oznacza dokładnie tego samego co przesłanie obrazu dokumentu. Prawdziwym potwierdzeniem byłoby stawienie się w Allegro i okazanie dowodu, co oczywiście byłoby uciążliwe. Może wygląda to jak łapanie za słówka, ale oddaje istotę problemu. Allegro nie potwierdza tożsamości na podstawie dokumentu, ale na podstawie jego cyfrowego obrazu. Taki obraz można sfałszować i niestety można go łatwo kopiować, co wzbudza dodatkowe obawy.

Interesującym rozwiązaniem tego problemu byłoby stworzenie mechanizmu e-administracji, umożliwiającego podmiotom biznesowym potwierdzanie tożsamości użytkownika przez Profil Zaufany (eGO). Brzmi to dziwacznie, ale banki i inne instytucje już teraz uczestniczą w weryfikowaniu użytkowników Profilu Zaufanego. To mogłoby działać także w drugą stronę. Oczywiście rodziłoby to ryzyka nowego rodzaju, a poza tym nasza e-administracja ma mnóstwo innych problemów do rozwiązania…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

50 komentarzy

Dodaj komentarz
  1. Na 99,9% tłumaczenie o innym koncie różniącym się tylko jednym znakiem w loginie, a należące do osoby o tym samym imieniu i nazwisku, to zwykła bzdura wyssana z palca na tzw. poczekaniu.

  2. paypal trzyma skany przez 7 lat, wiec allegro lepsze. Wysyłając skan dowodu zawsze można dodać znak wodny z informacją że: skan wykony w dniu … dla…

    • PayPal nigdy nie chciał ode mnie żadnego skanu. Żeby mnie zweryfikować zażądał przelewu na 1p.

    • przelewu na 1p? na jeden piniondz?

    • Na jeden pens

  3. Na początku maja na FB zapytałem panią minister Streżyńską o to czy planują udostępnić Profil Zaufany w taki sposób by można było za jego pomocą autoryzować konta w innych serwisach niż państwowych. Otrzymałem następującą odpowiedź:

    Trwają na ten temat dyskusje, ale raczej na niepaństwowych i nie związanych ze świadczeniem usług publicznych przez podmioty publiczne lub prywatne – nie. PZ uwiarygodnia tożsamość i oświadczenie woli, za usługi e-administracji czy inne usługi publiczne które są nim podpisywane administracja może brać odpowiedzialność, za prywatne – nie bardzo. Trzeba też pamiętać, że to nie jest podpis kwalifikowany, który jest wymagany w większości przypadków przy czynnościach prawnych w środowisku cywilnoprawnym. Średni poziom bezpieczeństwa PZ dodatkowo rodzi wątpliwości. Potrzebny nam jest raczej inny środek identyfikacji i uwierzytelnienia.

    https://www.facebook.com/StrezynskaAnna/posts/854513791374632?comment_id=854539358038742&reply_comment_id=854543504704994&comment_tracking=%7B%22tn%22%3A%22R5%22%7D

  4. moglibyście zapytać allegro czy i kiedy wprowadzą 2FA przy logowaniu? To podstawa w serwisach internetowych gdzie deponujemy pieniądze lub nasze dane.
    Pisałem do nich w tej sprawie 2 lata temu i nic ditąd. Dzięki

  5. Nie jest to wcale takie niemożliwe. Sam przekonałem się że w przychodni do której chodzę jest inny pacjent o takim samym imieniu i nazwisku z tą samą datą urodzenia a co za tym idzie tylko ostatnie 5 cyfr PESELu się różni. To powoduje za każdym razem spore problemy. Nikt nie weryfikuje całego peselu jeżeli imię innazwisko oraz data urodzenia się zgadzają… Ja o tym wiem i zawsze uprzedzam ale w mojej karcie lądują wpisy tej drugiej osoby …

    • W mojej przychodni jest odwrotnie – wyszukują pacjenta po całym PESELu, a dopiero potem weryfikują nazwisko.

    • Ale drugie imię macie też takie samo? Bo może to by rozwiązało problem?

  6. Tak na dobrą sprawę nie da się zabezpieczyć przed takim scenariuszem. Można by kombinować np. wideorozmowa i okazanie dokumentu podczas takowej rozmowy, wtedy przynajmniej KTOŚ musi pokazać twarz. Ale to jeszcze większa inwazja w naszą prywatność.
    Można też otworzyć kanał przesyłania dokumentów przez usługi takie jak Signal. Mamy wtedy potwierdzenie numeru telefonu i bezpieczny sposób przesłania skanu dokumentu.
    Można np. skorzystać z weryfikacji przez wysłanie grosza czy tam złotówki blikiem.
    Zawsze jakiś pomysł.

    • CzYm się tak naprawdę różni utrwalenie obrazu dokumentu na klatkach strumienia wideo od jego skanu? W jednym i drugim przypadku odbiorca dysponuje cyfrowym obrazem dokumentu. To że usunie je po takim-a-takim czasie to “baju baju” w które można jedynie wierzyć i nic poza tym, dyski jak wiadomo są pojemne i cierpliwe. Tak na marginesie nawet zgłosiwszy się osobiście do biura i okazawszy dokument fizycznie może zostać sporządzony jego obraz np. przez kamery znajdujące się w pomieszczeniu (np. podczas rejestracji kart prepaid w salonie pewnej sieci pracownik kładł dowód płasko na biurku najpierw jedną, potem drugą stroną, co umożliwiało utrwalenie jego obrazu przez znajdującą się przy suficie kamerą skierowaną na jego miejsce pracy).

  7. > Brzmi to dziwacznie, ale banki i inne instytucje już teraz uczestniczą w weryfikowaniu użytkowników Profilu Zaufanego. To mogłoby działać także w drugą stronę.

    Tak naprawdę wystarczy przelew na 1 złoty albo nawet 1 grosz (jeżeli bank oczywiście pozwala przelać jednorazowo mniej niż 1.00 PLN) zwracany po zakończeniu weryfikacji. I przy okazji są też dane adresowe użytkownika/posiadacza rachunku.

    > Czy nie powinna istnieć możliwość przesłania skanu dokumentu w inny sposób np. połączeniem szyfrowanym?
    Teoretycznie to nie problem – jeżeli oczywiście pracownicy Allegro wiedzą co to jest S/MIME i na zapytanie użytkownika chcącego coś przesłać odpowiedzą poprawnie podpisanym mailem z certyfikatem publicznym odbiorcy, którym nadawca zaszyfruje kanał. Taż to teraz certyfikat idzie sobie wyrobić nawet za darmo.

  8. Mam imię i nazwisko w loginie konta. Spoko :(

    A weryfikacja poprzez przelew 1 grosza z konta na dane użytkownika? Kiedyś chyba było coś takiego przy zakładaniu konta. – Złe rozwiązanie?

    PS Myślę, że autor każdego artykułu, powinien go dawać do przeczytania drugiej osobie przed publikacją.

  9. Pewnie czemu miał dostęp na mobilnym to pewnie prosty i idiotyczny powód – nie usunęli aktywnych sesji pewnie na danym koncie i tyle.

  10. zwróćcie uwagę jakim kanałem komunikacji ofiara posłużyła się do kontaktu z Allegro…FACEBOOK. Prawdziwe konto na FB, z historią i kompletem znajomych może być w takich kryzysowych sytuacjach na prawdę pomocne. Swoją drogą…kiedy w Allegro pojawi się 2FA lub powiadomienia na telefon o zmianie danych?

    • Wejdź na allegro, można kupić konto FB z zestawem znajomych za mniej niż pięć dych. Wyobrażasz sobie skalę nadużyć jakie byś wywołał? Trzeba by było powiązać zawczasu konto FB z kontem Allegro, to może by to miało szansę działać.

    • Ja mam tu odmienne uczucia, mianowicie jest to dla mnie przykład wszechobecności Facebooka (i postępującego zastępowania nim rozmaitych kanałów zarówno wymiany informacji jak i uwierzytelniania) która idzie zdecydowanie za daleko. Co dalej, obowiązkowe konto na FB zamiast dowodu osobistego? To miała być sieć społecznościowa, a robi się z tego wszędobylskie mostrum które usiłuje kontrolować przepływ informacji (i nie tylko) na wszelkich możliwych dostępnych płaszczyznach.

    • “Kolekcjonerskie dowody” niemalże nieodróżnialne od prawdziwych? Serio? Czy wytwarzanie oraz wprowadzanie do obiegu dosłownie wszystkiego jest w tym kraju legalne, jeśli w opisie pojawi się magiczne słówko “kolekcjonersk[iae]”?

    • Wytwarzanie tak, ale wprowadzanie do obiegu (w przypadku pieniędzy) czy posługiwanie się jak prawdziwym (w przypadku dokumentów) już zdecydowanie nie.

  11. Nie lepiej by było by jako weryfikację prosić o przelew na np. 1zł z konta do którego podpięte jest allegro? Dzisiaj własnie w ten sposób następuje pierwsza weryfikacja konta, po jego utworzeniu.

  12. Właśnie dlatego (wymagana weryfikacja za pomocą dowodu tożsamości) zrezygnowałem z usług AirBNB. Kto wie jakie niespodzianki mogą mnie czekać..

  13. Pierwotną przyczyną przejęcia konta wcale nie musiał być atak. Wystarczyła jakaś popularna zbieżność typu ketjow i ketjow77 dla użytkowników nazywających się Wojciech Nowak.

  14. Firmy , które pobierają dokumenty tożsamości robią to dlatego, że są zobligowane różnymi przepisami, w tym np. o przeciwdziałaniu praniu pieniędzy lub konieczności zapewnienia odpowiednich środków bezpieczeństwa. Tak naprawdę powinniście zastanowić się, jeśli firma NIE wymaga przynajmniej podania niektórych danych (patrz ustawa o praniu: “ustalenie i zapisanie cech dokumentu tożsamości), bo może działa niezgodnie z prawem (świadomie lub mniej świadomie). Jako klient macie prawo zapytać firmę, która Was obsługuje, po co bierze skan dokumentu, co z nim robi i jak i gdzie go przechowuje. Profesjonalizm (lub jego brak) bardzo dużo powie Wam o firmie. Dużo więcej, niż proste wnioskowanie – pójdę tam, gdzie dokumentu nie chcą, bo w ten sposób promujecie potencjalnie firmy, które mają w nosie przestrzeganie prawa i Wasze bezpieczeństwo. Profesjonalna firma może popełnić błąd, ale dzięki zgłoszeniom swoich klientów – reaguje i poprawia bezpieczeństwo.

    • > Firmy , które pobierają dokumenty tożsamości robią to dlatego, że są zobligowane różnymi przepisami[…]

      To chyba nie tak. Nawet bank, jaki ma chyba najwyższe uprawnienia ma za zadanie zweryfikować tożsamość Klienta, czyli doprowadzić do tego, że okażesz swoje dane (np. Dowód Osobisty), ale nie mogą sobie robić ksero ani skanu do pliku w systemie, bo to by było nie okazanie, a przekazanie. Nie można komuś dać swojego Dowodu Osobistego, ani tożsamości jaka się z nim wiąże. Pozwalając komuś robić kopię swojego dokumentu tożsamości dajesz mu swoją tożsamość, a to niedopuszczalne.

    • > To chyba nie tak. Nawet bank, jaki ma chyba najwyższe
      > uprawnienia ma za zadanie zweryfikować tożsamość Klienta,
      > czyli doprowadzić do tego, że okażesz swoje dane
      > (np. Dowód Osobisty), ale nie mogą sobie robić ksero ani
      > skanu do pliku w systemie, bo to by
      > było nie okazanie, a przekazanie.

      W wypadku banków ustawa w ogóle nie mówi o “okazaniu”. Daje ona bankom prawo przetwarzania danych umieszczonych na dokumentach tożsamości. Zapis ten jest niefortunny, bo na dokumencie jest też nasze zdjęcie i stąd bank może przetwarzać dane w postaci wizerunku danej osoby. A samo skserowanie dowodu jest czynnością techniczną (i tej wersji też trzyma się GiODO), bo istotne jest, jakie dane można przetwarzać, a nie to, w jaki sposób (przepisanie/zeskanowanie/itd.) się je pozyskuje. A zatem wypożyczalnia sprzętu albo biblioteka nie może skanować czy kopiować dokumentów ze zdjęciem, bo nie ma prawa przetwarzać danych o wizerunku. Ale bank ma takie prawo, niestety, ze względu na ten nieszczęsny zapis w ustawie. Prawo przetwarzania wizerunku mają też uczelnie wyższe i dlatego mają prawo kopiować dowód czy paszport. Niestety :-(

      > Nie można komuś dać swojego Dowodu Osobistego (…)

      To prawda, ale…

      > Pozwalając komuś robić kopię swojego dokumentu
      > tożsamości dajesz mu swoją tożsamość, a to niedopuszczalne.

      … moim zdaniem problemem jest to, że kopia dokumentu jest uznawana przez bardzo wiele podmiotów jako potwierdzenie. Przecież nie bez powodu produkuje się specjalne, zabezpieczone dokumenty. Kopia takiego dokumentu powinna być uznawana za bezwartościową i nie pozwalać na zawarcie żadnej transakcji, podobnie jak nie można przekroczyć granicy mając kopię paszportu, dowodu osobistego albo innego dokumentu. Zresztą, kopia zwykłego dokumentu (np. umowy najmu) też niczego nie stwierdza, jeżeli nie jest potwierdzona za zgodność (nawet niekoniecznie notarialnie)

  15. Hej, w stopce macie błąd:

    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

    • Się obudził :] przejrzyj kod strony , Niebezpiecznik czasem w kod wrzuci coś zabawnego czego nie widać “we frontendzie”

    • Witamy nowego! :)

    • Świeżak ale słaby bo nie spojrzał gdzie trzeba…

  16. Takie zbieżności są możliwe. Ja w swojej pracy spotkałem się z sytuacją, że dwóch użytkowników, którzy mieli login różniący się jedną litera (User sam mógł go ustawić w dowolnym momencie ), ustawili sobie to samo hasło. Po czym jeden z nich dzwoni i mówi mi, że system zalogował go na cudze konto :D

    • To fajny system tam macie.

    • Pisząc:
      “którzy mieli login różniący się jedną litera (User sam mógł go ustawić w dowolnym momencie )”
      miałem na myśli alias, który “przykrywał” oryginalny login (domyślny login nie ulegał zmianie).
      Przepraszam za ten skrót myślowy.
      A co do systemu, czy też “rozwiązania”, to jest ono dość popularne w Polsce.

    • No ale co to zmieniło? Różne konta, alias podobny (ciekawe czy dałoby się ustawić taki sam?) i system zaloguje osobę na nie to konto co trzeba? To podaj nazwę tego wynalazku, coby ostrzec innych przed używaniem tego “systemu”.

    • Nie wiem dlaczego próbujesz mi udowodnić, że to wina systemu. Sytuacja wygląda następująco:
      Mamy dwóch użytkowników U1 i U2. U1 Ma Login 11111, a U2 login 22222. U1 ustawia sobie alias na janek, a U2 na janec. Oboje mają ustawione, to samo hasło o czym dowiadujemy się w momencie, gdy jeden z nich robi literówkę podczas logowania się na konto. Gdzie ty tu widzisz wine systemu? Ten przykład pokazuje że ludzie stosują takie same (słabe) hasła.

      I nie ma możliwości ustawienia tego samego aliasu dla dwóch kont. (wydawało mi się to na tyle oczywiste, że aż głupio mi o tym wspominać)

  17. A przepraszam co da przesłanie skanu dokumentu kanałem zaszyfrowanym? Przecież to dalej ten sam, fałszywy skan, tylko przesłany tak, żeby nikt nie mógł go podejrzeć.
    Moim zdaniem, to każdy prowadzący jakąkolwiek działalność w internecie, wymagającą potwierdzenia tożsamości, powinien mieć swój, prywatny certyfikat, wydany przez organ zaufany, który potwierdził już wcześniej, bez żadnych wątpliwości tąż tożsamość. I wtedy takie allegro, wymagając również autentykacji może spytać dany urząd o prawdziwość certyfikatu. Zresztą certyfikat sam siebie by już uwierzytelniał ;)
    A jak ten zaufany urząd mógłby potwierdzać tożsamość petenta? Np. przez weryfikację oryginalnego dowodu, przesłanego pocztą czy kurierem. W UK stosuje się taki mechanizm od dawna. Tu widzę nawet pole do wykorzystania dla poczty czy innej firmy – potwierdzone, bezpieczne przesyłki dokumentów.

  18. wystarczyło by aby na koncie allegro po dokonaniu pierwszej weryfikacji zapisywali nr pesel. Przy ponownej weryfikacji muszą sprawdzić czy dalej jest ten sam pesel oraz oczywiście czy imie i nazwisko się zgadza. PESEL widoczny tylko w backoffice.

  19. Snapchat mocna reklama! Dobry artykuł!

  20. Oglądam was na Snapie! :D

  21. Snap

  22. Wsparcie dla tego typu przypadków użycia (elektroniczny dostęp do dokumentów obywateli dla podmiotów z sektora prywatnego) ma zapewnić usługa mDokumenty, budowana przez Ministerstwo Cyfryzacji, której pilotaż jest obecnie prowadzony w kilku miastach. Sugestia z ostatniego akapitu, że nic się w tej kwestii nie dzieje, jest więc trochę nie fair… https://mc.gov.pl/files/mc_mdokumenty_start_pilotazu.pdf

    • Moim zdaniem jest to chwytliwa marketingowo, ale jednak tylko zabawka autorstwa minister Streżyńskiej. Powinny być karty chipowe (koniecznie stykowe, bez RFID!) z podpisem elektronicznym, wydawane dla chętnych. Jestem przeciwko chipom dla wszystkich w dowodzie osobistym (który swoją drogą dawno powinien zostać zniesiony).

    • @Mateusz – chip nie byłby taki zły gdyby dobrze to ogarnąć. Mógłby zastąpić wiele innych kart plus trzymać dane medyczne.

  23. Zgłaszam się! Ze Snapa ;)

  24. A kto zgadnie, skąd to cytat?

    “List zawierać musi link do komentarza, którego treść ma być zmodyfikowana […] a także skan dowodu osobistego potwierdzającego tożsamość komentującego.”

    • Polityka komentarzy w serwisie Niebezpiecznik.pl

  25. To jakiś absurd, własnie mnie poinformowano, że bez przesłania skany dowodu potwierdzającego – no własnie nie wiem do końca co , nie otrzymam przekazu przetrzymywanych przez Allegro środków . Czy na to nie ma jakiegoś paragrafu, jak dla mnie to wymuszenie, i nie chodzi tu o ewentualne zlikwidowanie konta a o zawaszczenie pieniędzy czyli odmowę ich przekazania na wskazany od x lat w koncie adres użytkownika.

  26. Co to CTO?

  27. Po co te skany dowodów i przelewy na 1 grosz?

    Przecież wystarczy wziąć tak dowód osobisty z chipem, w którym jest zawarty cyfrowy podpis kwalifikowany, podłączyć do kompa przez czytnik za 60 zeta, i się uwierzytelnić w banku, urzędzie czy na Allegro.

    Ehh, rozmarzyłem się…
    W każdym razie opinia GIODO o skanie dowodu i gimnastyka Allegro z tymi skanami dowodu pokazuje, że to Państwo wszystkimi “kończynami” bohatersko walczy z problemami w zasadzie nieznanymi w innych państwach i na innych kontynentach. xD

    Pozdro

  28. […] Czytaj więcej: o weryfikacji tożsamości na Allegro pisał serwis Niebezpiecznik. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: