Uważaj. Na Allegro można przejąć twoje konto [aktualizacja]

Bardzo niebezpieczną lukę w serwisie Allegro zauważyli eksperci do spraw bezpieczeństwa. Robienie zakupów jest bardzo ryzykowne. Allegro wydało już w tej sprawie oświadczenie.

Uważaj. Na Allegro można przejąć twoje konto [aktualizacja]
Źródło zdjęć: © WP.PL
Adam Bednarek

Jak informuje serwis Niebezpiecznik, podczas przeglądania Allegro w niektórych momentach połączenie przestaje być szyfrowane. Co to oznacza?

“Brak szyfrowania pozwala każdej osobie, która jest na trasie komunikacji od przeglądarki użytkownika Allegro do serwera Allegro na podsłuchanie transmisji, w tym na kradzież ciasteczek sesyjnych. Podsłuchanie czyichś ciasteczek i ustawienie ich w innej przeglądarce umożliwi atakującemu wejście w “sesję” ofiary — użytkownika Allegro — i da możliwość korzystania z jego konta” - informuje Niebezpiecznik.

Atakującym może być osoba, która jest w tej samej otwartej bądź szyfrowanej WEP-em sieci Wi-Fi, jest w tej samej podsieci lub ma kontrolę nad dowolnym urządzeniem sieciowym na trasie pakietów pomiędzy przeglądarką ofiary a serwerami Allegro - wymienia Niebezpiecznik. W praktyce może to być np. administrator firmowej sieci. Gdyby wiedział o luce i miał niecne zamiary, mógłby “podglądać” osoby przeglądające Allegro.

Szczególnie narażone są osoby, które korzystają z Allegro, łącząc się z publiczną siecią - np. w hotelu, kawiarni czy pociągu. Jak ktoś mógłby wykorzystać lukę w serwisie? Podejrzeć dane osobowe, sprawdzić historię kupowanych przedmiotów i co najgorsze - wystawić przedmiot.

Jak informuje Niebezpiecznik, Allegro o luce wie i stara się ją naprawić. Problem występuje od 17. lutego i nie wiadomo, kiedy zostanie naprawiony. Dopóki serwis nie wyeliminuje usterki, Niebezpiecznik radzi, by nie robić zakupów w serwisie, jeśli obawiamy się utraty konta.

Oświadczenie Allegro

O godzinie 15:23 otrzymaliśmy następujące oświadczenie Allegro, dotyczące powyższego problemu:

- Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luką bezpieczeństwa masowo zagrażającą bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym), wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta. Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta - pisze Paweł Klimiuk, dyrektor komunikacji korporacyjnej.

Wybrane dla Ciebie
Komentarze (10)