Użytkowniku Allegro, uważaj na linki!
Na blogu Michała Majchrowicza pojawiła się informacja o luce w Allegro, która według autora była łatana przez ponad miesiąc czasu. Pracownicy Allegro zaprzeczają temu, że trwało to tak długo i zwracają uwagę na to, że załatano ją bez żadnego zgłoszenia. Użytkownikom nasunie się w tej sytuacji pytanie - co robić, aby na aukcjach być bezpiecznym?
Majchrowicz: to mogło zająć tydzień!
Wspomniana luka była związana z niepoprawną obsługą nazw zmiennych. Jej dokładniejszy opis możemy znaleźć na blogu Michała Majchrowicza. Dobrze, że została ona już załatana, ale bloger ma wątpliwości co do szybkości działania Allegro w podobnych sprawach. Według niego luka mogła być obecna przez ponad miesiąc czasu. Z pewnością była aktywna jeszcze 2 stycznia.
Przedstawiciele platformy aukcyjnej twierdzą, że luka nie mogła być obecna w serwisie przez miesiąc. Michał Majchrowicz nawet przy takim założeniu nie ustaje w twierdzeniu, że łatanie luki trwało zbyt długo. Według niego usunięcie tego błędu wcale nie było trudne i w "naprawdę pesymistycznym przypadku" mogło zająć tydzień. Dodatkowo należałoby założyć, że po opisaniu innych luk w Allegro w serwisie Hacking.pl (co miało miejsce w połowie grudnia) ekipa techniczna sprawdziła dokładnie serwis.
Allegro: poradziliśmy sobie!
Przedstawiciel Allegro jest innego zdania
- Pracownicy Allegro.pl pracują nad bezpieczeństwem serwisu bez przerwy. Świadczyć może o tym fakt, że to my, bez żadnego zgłoszenia znaleźliśmy i usunęliśmy problem o którym pisze autor tego bloga - napisał w e-mailu dla DI Patryk Tryzubiak, PR Manager Allegro.pl.
Przedstawiciel Allegro zaznaczył także, że ostatnie informacje na temat "dziur" w Allegro.pl dotyczyły takich usterek, których wykorzystanie wymagało interakcji z użytkownikiem (tj. kliknięcia w link). Po raz kolejny warto więc zaapelować do użytkowników, aby nie klikali w linki, których nie znają. Próba przekonania użytkownika do kliknięcia w nieznany odnośnik nadal wydaje się najbardziej popularna metodą wśród cyberprzestępców.
Luki w serwisach aukcyjnych - niekończąca się historia?
Czytelnikom pozostawiamy kwestię oceny, czy Allegro w tym przypadku działało szybko, czy nie. Zwracamy jednak uwagę na to, że tematyka błędów w Allegro od pewnego czasu powraca jak bumerang. Może to martwić, ale świadczy również o tym, że coraz intensywniej mówi sie o problemie, który byłby znacznie groźniejszy gdyby go przemilczano.
Jak już wspomniano, w grudniu ubiegłego roku na łamach serwisu Hacking.pl pojawił się artykuł o luce pozwalającej na dokonanie ataku XSS i CSRF dzięki spreparowanym linkom. Jeszcze wcześniej - we wrześniu ubiegłego roku - w serwisie Aukcje.org można było poczytać o luce w zabezpieczeniach Allegro pozwalającej na dokonanie ataku XSS. O tej wrześniowej luce pisaliśmy również w DI. Wtedy Łukasz Pilorz cytowany w naszym artykule radził czytelnikom, aby aukcje internetowe odwiedzali z wyłączonym JavaScriptem.
Zarówno użytkownicy, jak i programiści powinni mieć świadomość, że bezpieczeństwo serwisów aukcyjnych zawsze będzie szukaniem kompromisu pomiędzy swobodą użytkownika a bezpieczeństwem. Jak słusznie zauważył redaktor serwisu Aukcje.org przy okazji doniesień wrześniowych - najbardziej szkodliwe będzie przekonanie, że "nic się nie może stać".