Uważaj. Na Allegro można przejąć twoje konto [aktualizacja]
Bardzo niebezpieczną lukę w serwisie Allegro zauważyli eksperci do spraw bezpieczeństwa. Robienie zakupów jest bardzo ryzykowne. Allegro wydało już w tej sprawie oświadczenie.
Jak informuje serwis Niebezpiecznik, podczas przeglądania Allegro w niektórych momentach połączenie przestaje być szyfrowane. Co to oznacza?
“Brak szyfrowania pozwala każdej osobie, która jest na trasie komunikacji od przeglądarki użytkownika Allegro do serwera Allegro na podsłuchanie transmisji, w tym na kradzież ciasteczek sesyjnych. Podsłuchanie czyichś ciasteczek i ustawienie ich w innej przeglądarce umożliwi atakującemu wejście w “sesję” ofiary — użytkownika Allegro — i da możliwość korzystania z jego konta” - informuje Niebezpiecznik.
Atakującym może być osoba, która jest w tej samej otwartej bądź szyfrowanej WEP-em sieci Wi-Fi, jest w tej samej podsieci lub ma kontrolę nad dowolnym urządzeniem sieciowym na trasie pakietów pomiędzy przeglądarką ofiary a serwerami Allegro - wymienia Niebezpiecznik. W praktyce może to być np. administrator firmowej sieci. Gdyby wiedział o luce i miał niecne zamiary, mógłby “podglądać” osoby przeglądające Allegro.
Szczególnie narażone są osoby, które korzystają z Allegro, łącząc się z publiczną siecią - np. w hotelu, kawiarni czy pociągu. Jak ktoś mógłby wykorzystać lukę w serwisie? Podejrzeć dane osobowe, sprawdzić historię kupowanych przedmiotów i co najgorsze - wystawić przedmiot.
Jak informuje Niebezpiecznik, Allegro o luce wie i stara się ją naprawić. Problem występuje od 17. lutego i nie wiadomo, kiedy zostanie naprawiony. Dopóki serwis nie wyeliminuje usterki, Niebezpiecznik radzi, by nie robić zakupów w serwisie, jeśli obawiamy się utraty konta.
Oświadczenie Allegro
O godzinie 15:23 otrzymaliśmy następujące oświadczenie Allegro, dotyczące powyższego problemu:
- Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luką bezpieczeństwa masowo zagrażającą bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym), wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta. Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta - pisze Paweł Klimiuk, dyrektor komunikacji korporacyjnej.
