Niebezpieczna luka na Allegro
Jeden z użytkowników Allegro wykrył lukę bezpieczeństwa pozwalającą osobom wystawiającym aukcje przekierować licytujących na dowolną przygotowaną wcześniej stronę.
Użytkownik, który twierdzi, że powiadomił obsługę Allegro o problemie, przygotował też aukcję demonstrującą co można zrobić wykorzystując lukę. W przygotowanej niby-aukcji odnośnik do panelu ("Moje Allegro") prowadził pod nieistniejący adres www.spreparowany-link.phishingowy/ (!), natomiast kliknięcie przycisku "licytuj" przekierowywało do www.niebezpieczna-strona.phishingowa/.
Co więcej osoba, która znalazła błąd wykazała też, że można za jego pomocą podmienić dane sprzedawcy. Na aukcji w rubryce "sprzedawca" można było zobaczyć "słoneczko" i ponad pół tysiąca punktów z systemu komentarzy. Jednak kliknięcie na nazwę konta przenosiło na kartę zupełnie innego użytkownika, posiadającego... zero komentarzy.
W tym przypadku ktoś ewidentnie chciał tylko pokazać istnienie błędu. Jednak ten sam błąd można wykorzystać do np. wyłudzenia hasła. Aby ustrzec się przed tym zagrożeniem należy zwracać uwagę na adres pokazujący się w pasku adresowym (a wcześniej, po wskazaniu kursorem odpowiedniego linku, również na pasku stanu).
Z oczywistych względów nie podaję tutaj bliższych szczegółów odnośnie wykorzystanej techniki. Jeśli chodzi o Allegro, rzecznik serwisu, Bartek Szambelan, zapewnia, że temat jest znany i dział bezpieczeństwa pracuje nad problemem. Kłopot polega na tym, że proste usunięcie przyczyny może uczynić bezwartościowymi wiele szablonów aukcji, z których korzysta (a za które wcześniej płaciło kupując od innych osób) wielu użytkowników wystawiających zwykłe aukcje.
Jak zapowiada Bartek Szambelan, więcej informacji w tym zakresie Allegro udostępni w poniedziałek.
AKTUALIZACJA
Jak mówi osoba, która odnalazła lukę, Paweł "Krejd" Węgrzyn, na zgłoszenie
problemu administrator Allegro odpisało dość szybko, obiecując, że dział
techniczny "kompleksowo sprawdzi" zaistniały problem.
Okazuje się jednak, iż problem pracownikom Allegro znany jest od dawna, a
o możliwości wykorzystania dokładnie tej samej techniki alarmował
obsługę serwisu już ponad rok temu Jacek Z. Strzembkowski, autor
serwisu Aukcje.org.
Warto przeczytać:
04-07-2007, 21:30
odpowiedz
04-07-2007, 21:20
odpowiedz
04-07-2007, 21:13
odpowiedz
04-07-2007, 20:11
odpowiedz
04-07-2007, 19:04
odpowiedz
- Zobacz pozostałe
To warto przeczytać
-
Grafik 2.20Rozkład pracy dla pracowników - grafik dyżurów
SUMo 2.17.2.137Program monitorujący stan oprogramowania zainstalowanego w systemie
-
-
Miranda IM 0.9.43Komunikator internetowy, obsługujący chyba wszystkie najpopularniejsze protokoły, w tym Gadu-Gadu.
-
-
phishing
Zobacz wszystkie (5)
Poprzedni
Pobieranie danych...