"Znalezienie kilku bardzo poważnych błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty, wliczając czasy ładowania się dokumentów HTML i grafik" pisze Łukasz Lach w serwisie Hacking.pl i prezentuje dokumentację możliwości, jakie platforma "oferuje" atakującemu.
Według redaktora Hacking.pl poziom bezpieczeństwa tego największego w Polsce serwisu aukcyjnego jest bardzo niski. System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation - ujawnia z kolei serwis ITBiznes.pl
Odkryte przez Hacking błędy umożliwiają kradzież wszystkich danych osobowych (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Co istotne, nie trudno jest również dostać się do danych związanych z sesją - pisze Hacking.pl, co z kolei umożliwia - z pozycji zaatakowanego - przeglądanie części administracyjnej Allegro.
Łukasz Lach zwraca też uwagę na pozytywną sprawę, jaką jest prośba o podanie nazwy użytkownika i hasła przed każdą kluczową operacją na Allegro. Jednak w przypadku kradzieży danych powyższe zabezpieczenie nie okaże się jednak skuteczne. Tym bardziej, że już przy wystawianiu aukcji system nie pyta o potwierdzenie danych wystawiającego, dzięki czemu wykorzystując powyższe błędy atakujący ma praktycznie pełne pole do popisu.
Allegro nie odpowiedziało na dwa e-maile z informacją o błędach wysłane do nich przez serwis Hacking.pl. Jednak z doniesień serwisu ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.
Galerię zrzutów z dowodami i szczegółowy opis sprawy znajdziecie w serwisie Hacking.pl
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Ochrona, jaką daje interpretacja indywidualna, obowiązuje nawet po doręczeniu zmienionej interpretacji. Niestety nie zawsze oznacza to zwolnienie z obowiązku zapłaty podatku. Tak pełnej ochrony nie uzyskają osoby, które zrealizowały sytuację opisaną we wniosku o wydanie interpretacji jeszcze przed jej doręczeniem. Jednak i one mogą spać spokojniej, gdyż nie grozi im postępowanie karne skarbowe czy konieczność płacenia odsetek za zwłokę. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
kradzież danych
Pobieranie danych...