Nowe dziury w Allegro - możliwe korzystanie z cudzego konta
W zeszłym tygodniu informowaliśmy o wykryciu w Allegro luki bezpieczeństwa pozwalającej na podmienienie znajdujących się na stronie odnośników. Allegro częściowo pozbyło sie problemu, jednak w międzyczasie pojawił się nowy.
Pierwszej luka wykorzystywała możliwość pozycjonowania znajdujących się na stronie elementów za pomocą atrybutów CSS. W piątek pracownicy Allegro zdołali częściowo usunąć problem - w wyniku podjętych działań nie można już podmieniać stałych elementów strony za pomocą atrybutu position: absolute, mimo, iż nadal można wykorzystywać go w opisie aukcji.
Jak jednak dość szybko zauważył Paweł "Krejd" Węgrzyn, który niedawno prezentował lukę - rozwiązanie okazało się niepełne. Nadal istnieje bowiem możliwość wykorzystania luki w nieco zmodyfikowanej formie - za pomocą atrybutu position: fixed. Co prawda po zastosowaniu tej metody osoby przewijające stronę aukcji za pomocą suwaka przeglądarki nie dostaną się do właściwego opisu (fragment strony objęty tym znacznikiem pozostanie w jednym miejscu ekranu), ale jeśli ktoś będzie przemieszczał się po aukcji za pomocą rolki myszy, może odnieść wrażenie, że aukcja jest zupełnie "normalna".
Jednocześnie jak zauważa Jacek Z. Strzembkowski z serwisu Aukcje.org, nawet niezmodyfikowaną wersję luki można wykorzystać na stronach starej kafejki Allegro.
Więcej luk
Na tym jednak nie koniec. Pod koniec ubiegłego tygodnia jeden z bloggerów, Adriano, zauważył inne luki bezpieczeństwa. Jak się okazuje możliwe jest zmylenie algorytmów, za pomocą których Allegro interpretuje kod HTML/CSS aukcji. Dzięki temu można wykorzystać znaczniki CSS i HTML spoza dozwolonej przez Allegro listy. Za pomocą odkrytych luk można między innymi wstawić na aukcję skrypty JavaScript czy obiekty flash (przykład w archiwizatorze aukcyjnym).
Jak groźne są nowo odkryte błędy zauważył na swojej stornie Paweł "Krejd" Węgrzyn. Okazuje się bowiem, iż za pomocą dziur odkrytych przez Adriano można wyjątkowo łatwo manipulować cudzym kontem. Wystarczy, że dana osoba będzie zalogowana i wyświetli odpowiednio spreparowaną aukcję, nie musząc nawet na nic klikać w jej obrębie!
Co na to Allegro
Rzecznik Allegro, Bartek Szambelan, zapewnił, iż trwają prace nad wyeliminowaniem zagrożenia. Twierdzi też, iż po odkryciu pierwszej z omawianych luk, na stronie komunikatów Allegro znajdowała się informacja na temat zagrożenia. Obecnie jednak, po wykryciu, iż zastosowane zabezpieczenie jest niepełne i ujawnieniu kolejnych luk, informacji takiej nie widać, a użytkownicy serwisu o konieczności zachowania ostrożności dowiadują się z forów, blogów, grup dyskusyjnych i informacji umieszczanych na stronach typu Wykop.pl.
Tymczasem Jacek Z. Strzembkowski zauważa, iż serwisy takie jak Allegro mają obowiązek ostrzeżenia swoich użytkowników o zaistniałym zagrożeniu. Wskazuje przy tym na ustawę o świadczeniu usług drogą elektroniczną:
Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną,
Jacek Z. Strzembkowski przypomina też, że obowiązek odpowiedniego zabezpieczenia danych osobowych wynika z ustawy o ochronie danych osobowych
Świstak, eBay
Te dwa serwisy dotknięte są tylko pierwszą z wymienionych dziur bezpieczeństwa. W przypadku Świstaka trudno określić kiedy problem z użyciem atrybuty CSS position zostanie usunięty, jak jednak zapewniają pracownicy serwisu - "na pewno nie później niż w ciągu najbliższych 3 miesięcy" (sic! miejmy nadzieję, że jednak dużo wcześniej).
Jeśli chodzi o eBay - stanowisko tej platformy ma zostać przesłane do redakcji DI we wtorek, 10 lipca br.