Jump to content
Sign in to follow this  
profesoq

Hacking: Allegro pełne dziur!

Recommended Posts

profesoq    0

"Znalezienie kilku bardzo poważnych błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty, wliczając czasy ładowania się dokumentów HTML i grafik" pisze Łukasz Lach w serwisie Hacking.pl i prezentuje dokumentację możliwości, jakie platforma "oferuje" atakującemu.

 

Według redaktora Hacking.pl poziom bezpieczeństwa tego największego w Polsce serwisu aukcyjnego jest bardzo niski. System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation - ujawnia z kolei serwis ITBiznes.pl

 

Odkryte przez Hacking błędy umożliwiają kradzież wszystkich danych osobowych (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. Co istotne, nie trudno jest również dostać się do danych związanych z sesją - pisze Hacking.pl, co z kolei umożliwia - z pozycji zaatakowanego - przeglądanie części administracyjnej Allegro.

 

Łukasz Lach zwraca też uwagę na pozytywną sprawę, jaką jest prośba o podanie nazwy użytkownika i hasła przed każdą kluczową operacją na Allegro. Jednak w przypadku kradzieży danych powyższe zabezpieczenie nie okaże się jednak skuteczne. Tym bardziej, że już przy wystawianiu aukcji system nie pyta o potwierdzenie danych wystawiającego, dzięki czemu wykorzystując powyższe błędy atakujący ma praktycznie pełne pole do popisu.

 

Allegro nie odpowiedziało na dwa e-maile z informacją o błędach wysłane do nich przez serwis Hacking.pl. Jednak z doniesień serwisu www.ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.

 

Galerię zrzutów z dowodami i szczegółowy opis sprawy znajdziecie w serwisie www.Hacking.pl

 

Źródło

Share this post


Link to post
Share on other sites
Falkhor    63

Heh, wysublimowane te metody ataków... Ciekaw jestem, co na to Allegro... w końcu to NAJWIĘKSZY system tego typu na naszych ziemiach, więc to dlatego tak przykuwa uwage hakerów szukających sposobów na popularność :) Chociaz ten serwis w sumie wyrzadza Allegro przysługę - profesjonalni betatesterzy że tak powiem ;)

 

Ciekawe, czy coś to zmieni :D

Share this post


Link to post
Share on other sites
grzenio    0
Chociaz ten serwis w sumie wyrzadza Allegro przysługę - profesjonalni betatesterzy że tak powiem :)

Pytanie tylko jak do tego podejdą administratorzy serwisu Allego, czy potraktują sprawę poważnie czy też uniosą się honorem że nikt nie będzie im wytykał błędów.

 

Chociaż jest iskierka nadziei:

Jednak z doniesień serwisu www.ITBiznes wynika, że informacje te dotarły już do specjalistów z platformy aukcyjnej, którzy weryfikują doniesienia.

Share this post


Link to post
Share on other sites
profesoq    0

Allegro dementuje informacje o poważnym błędzie

Poziom bezpieczeństwa w części "Moje Allegro" w najpopularniejszym polskim serwisie aukcyjnym, jest równy zeru - poinformował serwis hacking.pl. Błędy są bardzo poważne. Przedstawiciele Allegro dementują te informacje.

Znalezienie kilku błędów w skryptach administracyjnych Allegro zajęło dokładnie 3 minuty wliczając czasy ładowania się dokumentów HTML i grafik - czytamy w serwisie poświęconym bezpieczeństwu sieci.

 

Błędy te są bardzo poważne, o czym może świadczyć fakt, że osoba atakująca, z pomocą spreparowanego adresu URL, może bez większego trudu wykraść wszystkie dane osobowe (łącznie z adresem i numerem telefonu), nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. - alarmuje hacking.pl. "W związku z pojawiającymi się w niektórych serwisach internetowych informacjami o braku zabezpieczenia serwisu Allegro.pl chciałbym zdementować te informacje" - pisze Patryk Tryzubiak z Allegro.pl w oświadczeniu przesłanym do redakcji serwisu Wiadomości Onet.pl.

 

"Rzeczywiście sytuacja opisywana przez serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest co najmniej nadużyciem" - czytamy w oświadczeniu.

 

"Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza (Lacha, autora informacji w serwisie hacking.pl - przyp. Wiadomości Onet.pl). Rzeczywiście dokonał on tego czego dokonał. Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. Za to jesteśmy mu wdzięczni. Tak jak jesteśmy wdzięczni za każdą informację mogącą pomóc w zwiększeniu bezpieczeństwa i funkcjonalności naszego serwisu" - czytamy w oświadczeniu Allegro.pl.

 

"Faktycznie nasza reakcja na maila Pana Łukasza była spóźniona. Nie wynikało to jednak ze złej woli pracowników naszego serwisu. Po prostu mail ten trafił do kolejki w formularzu zgłoszeniowym. W związku z okresem przedświątecznym pozostał tam dłużej niż powinien. Niestety okres przedświąteczny jest dla nas zawsze związany ze wzmożoną pracą oraz dużo większą ilością korespondencji" - pisze Tryzubiak, dodając, że "w momencie, gdy dotarliśmy do informacji od Pana Łukasza nasz dział techniczny rozpoczął natychmiastowe prace nad poprawieniem bezpieczeństwa naszego serwisu".

 

"Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci. Faktycznie problem ten miał miejsce. Został już jednak naprawiony. Nie jest jednak tak, że dowolna osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl" - zapewnia przedstawiciel najpopularniejszego w Polsce serwisu

 

Przerwa techniczna w nocy ze środy na czwartek (20/21 grudnia) w godzinach od 1:00 do 2:00 nie ma żadnego związku z problemem wykazanym przez Pana Łukasza - informuje Allegro.pl.

 

Zródło: www.hacking.pl

Share this post


Link to post
Share on other sites
Falkhor    63

Hehe :) Zgodzę się z dwoma sprawami - jedna, że Allegro ma dziury. Dwa - że poziom ich zabezpieczeń nie jest zerowy :) Trzecia rzecz, która może byc wnioskiem, kilku hakerów dostanie nowe miejsca pracy w Allegro i będą siedzieć i pracować nad zabezpieczeniami :P :P

 

Hmmmm... a co do kolejkowania mejli - powinien byc jakiś formularz zgłaszający zagrożenie systemu, a nie ma być rónouprawnienia mejli typu 'zapomnialem hasla' z 'dziura w systemie zabezpeiczeń'...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Sign in to follow this  

×