Jeden z użytkowników Allegro wykrył lukę bezpieczeństwa pozwalającą osobom wystawiającym aukcje przekierować licytujących na dowolną przygotowaną wcześniej stronę.
Użytkownik, który twierdzi, że powiadomił obsługę Allegro o problemie, przygotował też aukcję demonstrującą co można zrobić wykorzystując lukę. W przygotowanej niby-aukcji odnośnik do panelu ("Moje Allegro") prowadził pod nieistniejący adres www.spreparowany-link.phishingowy/ (!), natomiast kliknięcie przycisku "licytuj" przekierowywało do www.niebezpieczna-strona.phishingowa/.
Co więcej osoba, która znalazła błąd wykazała też, że można za jego pomocą podmienić dane sprzedawcy. Na aukcji w rubryce "sprzedawca" można było zobaczyć "słoneczko" i ponad pół tysiąca punktów z systemu komentarzy. Jednak kliknięcie na nazwę konta przenosiło na kartę zupełnie innego użytkownika, posiadającego... zero komentarzy.
W tym przypadku ktoś ewidentnie chciał tylko pokazać istnienie błędu. Jednak ten sam błąd można wykorzystać do np. wyłudzenia hasła. Aby ustrzec się przed tym zagrożeniem należy zwracać uwagę na adres pokazujący się w pasku adresowym (a wcześniej, po wskazaniu kursorem odpowiedniego linku, również na pasku stanu).
Z oczywistych względów nie podaję tutaj bliższych szczegółów odnośnie wykorzystanej techniki. Jeśli chodzi o Allegro, rzecznik serwisu, Bartek Szambelan, zapewnia, że temat jest znany i dział bezpieczeństwa pracuje nad problemem. Kłopot polega na tym, że proste usunięcie przyczyny może uczynić bezwartościowymi wiele szablonów aukcji, z których korzysta (a za które wcześniej płaciło kupując od innych osób) wielu użytkowników wystawiających zwykłe aukcje.
Jak zapowiada Bartek Szambelan, więcej informacji w tym zakresie Allegro udostępni w poniedziałek.
AKTUALIZACJA
Jak mówi osoba, która odnalazła lukę, Paweł "Krejd" Węgrzyn, na zgłoszenie
problemu administrator Allegro odpisało dość szybko, obiecując, że dział
techniczny "kompleksowo sprawdzi" zaistniały problem.
Okazuje się jednak, iż problem pracownikom Allegro znany jest od dawna, a o możliwości wykorzystania dokładnie tej samej techniki alarmował
obsługę serwisu już ponad rok temu Jacek Z. Strzembkowski, autor
serwisu Aukcje.org.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Wydatki związane z przeglądem czy zakupem klimatyzacji lub instalacją rolet można zaliczyć w koszty firmy. Dotyczy to nie tylko samochodów, ale także firmowych lokali. W ten sposób można zaoszczędzić na podatku nawet 1,5 tys. zł. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
phishing
Zobacz wszystkie (5)
Pobieranie danych...