Groźny błąd w Allegro przyczyną akcji zmiany haseł

25-11-2010, 10:35

Do użytkowników popularnego serwisu aukcyjnego docierają od wczoraj e-maile o treści: "W trosce o bezpieczeństwo Twojego konta, przeprowadzamy akcję zmiany haseł dostępu do Allegro. (...) Pozwoli to zachować wysoki poziom bezpieczeństwa w serwisie". Akcja ma prawdopodobnie związek z odkryciem błędu w webAPI Allegro, który umożliwiał pobranie danych (w tym także hasła) dowolnego użytkownika serwisu, jeśli w ciągu ostatnich 90 dni uczestniczył on w jakiejś aukcji.

O akcji zmiany haseł poinformował redakcję Dziennika Internautów jeden z Czytelników:

(...) na forum przeczytałem, że akcja dotyczy tylko wybranej grupy użytkowników. Dlaczego? Moje hasło było zbyt proste? Jeśli chaotyczny ciąg znaków i cyfr bez logicznego sensu jest zbyt prosty, to jakie hasło będzie odpowiednie? Jeśli chodzi o prewencję to chyba wszyscy powinni hasła zmieniać, a nie tylko wybrani. Czyżbym znalazł się w grupie użytkowników, których dane wyciekły z systemu? Tylko to przychodzi mi na myśl. Allegro, bojąc się utraty zaufania, nie informuje o wycieku (nie dziwię się). Jednak chciałbym poznać prawdziwe przyczyny zmiany hasła. Dlaczego ja znalazłem się w grupie "szczęśliwców"? Na jakiej podstawie mnie wytypowano?

Wyjaśnienie sytuacji znajdziemy w serwisie Niebezpiecznik.pl, którego redaktorzy otrzymali następującą wiadomość od osoby podpisującej się jako „slavkowsky”:

Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza również haseł w czystej postaci.

Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.) zaczęła zwracać wyjątek „Client: looks like we got no XML document”. Sprawdziłem więc co tak na prawdę zwraca webapi — to co zobaczyłem mnie wmurowało. Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł.

Jak podaje Niebezpiecznik.pl, luka została już załatana. Fakt ten potwierdził Patryk Tryzubiak, Dyrektor ds. Komunikacji Korporacyjnej w Allegro. Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane. (...) Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy, jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błędu - napisał Tryzubiak w komentarzu dla serwisu Niebezpiecznik.pl.

>> Czytaj więcej w Niebezpieczniku: Poważny błąd w Allegro umożliwiał poznanie haseł użytkowników!

Według przedstawiciela Allegro tylko jedna osoba korzystająca we wskazanym czasie z webAPI zdecydowała się sprawdzić, na czym polega problem błędnej odpowiedzi serwera, uzyskując w ten sposób dostęp do danych użytkowników. Tryzubiak przypomniał, że przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch.

Allegro w żaden sposób nie skomentowało faktu przechowywania haseł w postaci czystego tekstu. Specjaliści ds. bezpieczeństwa stanowczo sprzeciwiają się takim praktykom. Skompromitowana baza danych z tak przechowywanymi hasłami jest jak książka telefoniczna ze spisem haseł w miejsce numerów telefonów - wyjaśnił Dziennikowi Internautów Michał Piszczek, kierownik Działu Programistów w firmie ESC S.A.

Z tego względu stosuje się funkcję hashującą, która podany ciąg znaków jednoznacznie odwzorowuje na pewien klucz o stałej długości. Od 2010 r. amerykański National Institute of Standards and Technology zaleca stosowanie algorytmu SHA-2 (ang. Secure Hash Algorithm). Aby jeszcze bardziej utrudnić łamanie zahashowanych haseł, używa się tzw. salta – przed przekształceniem każdego hasła dokleja się do niego np. 100-znakowy ciąg definiowany w kodzie źródłowym.

O tym, że Allegro przechowuje hasła użytkowników w postaci jawnej, nie stosując hashowania, sygnalizowaliśmy w Dzienniku Internautów ponad rok temu (zob. Allegro: kontrowersje wokół sposobu przechowywania haseł).


Źródło: Niebezpiecznik.pl, Dziennik Internautów
Tematy pokrewne:  

tag wycieki danychtag wyciekitag lukitag hashowanietag hasłatag Allegro
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31