Uważajcie na serwis Allegro – Wasze dane oraz konto mogą zostać przejęte!

mm Michał Derej Artykuły 2018-03-01

Aktualizacja: aplikacja mobilna Allegro jest bezpieczna. Zostaliśmy o tym poinformowani przez zarząd portalu. Oświadczenie firmy:

Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP  (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta.
Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta.
Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP  (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej.
Obecnie Allegro jest w trakcie przechodzenia na szyfrowany protokół HTTPS. Proces ten zakończy się w najbliższym czasie.

Allegro jest najpopularniejszym serwisem aukcyjnym w naszym kraju, o czym mówi nawet liczba kont zarejestrowanych w serwisie – jest ich ponad 20 milionów. Co miesiąc na portalu dokonywanych jest również kilkanaście milionów transakcji. Z tego powodu dziwi fakt, że ostatnimi czasy Allegro zdecydowało się wyłączyć szyfrowanie na niektórych podstronach serwisu, co naraża wszystkich użytkowników na kradzież danych oraz konta! W dalszej części tego artykułu przedstawię Wam, na czym dokładnie polega niebezpieczeństwo oraz jak należy się przed nim chronić.

Co dokładnie się stało?

Opisywany przeze mnie w tym artykule portal aukcyjny istnieje już od ponad 18 lat. Jak podaje serwis Niebezpiecznik, platforma aukcyjna Allegro od niedawna szyfrowana jest jednak praktycznie na każdej podstronie oprócz:

  • widoku aukcji,
  • centrum zniżek,
  • strony wystawiania przedmiotu.

Nieuwaga mniej doświadczonego użytkownika, który nie zauważy, że przeglądarka przestała wyświetlać znaczek bezpiecznej kłódki może wiele kosztować, ponieważ każda osoba korzystająca z serwisu narażona jest na podsłuchanie transmisji bądź przejęcie ciasteczek sesji. Na czym dokładnie polegają wspomniane przeze mnie zagrożenia?

Podsłuchanie transmisji i przejęcie ciasteczek? Co to oznacza?

Ciasteczka sesji (szerzej znane jako „HTTP Cookies”), to pliki z informacjami na temat aktualnej sesji użytkownika. Są one przesyłane na serwery (w tym przypadku firmy Allegro) z każdym żądaniem, więc również po przejściu na nieszyfrowane podstrony serwisu aukcyjnego (czyli np. na daną aukcję, na której chcemy zakupić przedmiot). Brak szyfrowania oznacza, że unikalny identyfikator sesji, po którym rozpoznaje nas strona internetowa, na serwery podróżuje w formie pliku tekstowego, który odczytać może atakujący. W tym miejscu robi się niebezpiecznie – po przejęciu ciasteczek haker przejrzeć może pełne dane osobowe wraz z numerem telefonu, które przypisane są do naszego konta oraz wystawić w naszym imieniu aukcję, by narazić nas na dodatkowe koszty.

Zobacz też: Które telefony z Androidem są najbezpieczniejsze?

Osobą atakującą może być każdy – wystarczy, że jego komputer podłączony jest do tej samej sieci Wi-Fi lub podsieci. Co ciekawe, nasze dane wykraść może również np. firmowy administrator, ponieważ ma on podgląd na wszystkie przesyłane za pośrednictwem Internetu informacje.

Boję się o swoje dane osobowe – co mam zrobić?

Jeśli korzystacie z serwisu Allegro, to Wasze obawy są w pełni uzasadnione. Z powodu błędu (który przez pomoc techniczną Allegro jest bagatelizowany, ponieważ rzekomo jest to celowe działanie) Wasze dane mogą zostać wykradzione. Z tego powodu zalecam Wam niekorzystanie z portalu aukcyjnego aż do czasu wyjaśnienia sprawy – w ten sposób Wasze informacje pozostaną bezpieczne i nie będziecie musieli martwić się o przykre konsekwencje braku szyfrowania. Bądźcie bezpieczni!

Źródło: Niebezpiecznik



  • Lookso
  • Ale tak właściwie dlaczego wyłączono HTTPS? Jakie są minusy stosowania tego protokołu?

    • Lukas

      Robi się bilans zysków i ewentualnych strat. Podpięcie strony pod ssl wiąże się często ze zmianą w kodzie, modernizacją serwerowni (potrzebna jest dużo większa moc obliczeniowa), a więc i dodatkowymi rachunkami za prąd itp i tak taka „delikatna” zmiana dla użytkownika końcowego może oznaczać dla serwisu allegro ok 100 tyś więcej do zapłaty co miesiąc, a ewentualne koszty na naprawienie ludziom krzywdy z tego powodu ok 20 tyś miesięcznie, czyli „zysku” mamy 80 tyś w miesiącu.

  • Bartosz Miąskowski

    Nie da się tak po prostu przechwycić czyiś danych nawet jeżeli nie są szyfrowane. ? Ryzyko jest jeżeli ktoś korzysta z tych stron kiedy używa otwartej sieci WiFi, w innym przypadku szansa podsłuchania ciasteczek jest znikoma. ?

    • Lukas

      Jesteś w błędzie, nie muszę być podłączony do jednej sieci, żeby przechwycić ciasteczko sesji. Wystarczy nasłuch na serwerze Allegro i następnie wybrać sobie „ofiarę” i można przejąć wysłane ciastko klient -> serwer. Jak będę miał szczęście to zaraz po zalogowaniu ktoś przejdzie na niezabezpieczoną stronę, to przejmę jego sesję. Są też inne sposoby dostania się na konto „ofiary” poprzez socjotechniki, a jedyną pewną rzeczą jest właśnie ten ssl który jest na daną chwilę pewną rzeczą

  • Chytruseq

    „W dalszej części tego artykułu przedstawię Wam, … oraz jak należy się przed nim chronić.”
    ” zalecam Wam niekorzystanie z portalu aukcyjnego oraz mobilnej aplikacji aż do czasu wyjaśnienia sprawy”
    To jest GENIALNE!!!! Jak na to wpadłeś? Tak innowacyjnego rozwiązania bym się nie spodziewał. Że ja na to nie wpadłem, byłbym milionerem teraz :/

    Skisłem jak to czytałem xD Chciałbym zobaczyć miny wszystkich sprzedawców/sklepów handlujących na allegro jak to czytali.

    • Michał Derej

      Wybacz, ale nie umiem naprawiać certyfikatów HTTP na stronach, do których nie mam dostępu. 😉 Takie same kroki zaleca Niebezpiecznik – tam czytelnicy rozumieją skalę problemu, tutaj „kisną”.

      • aircraft

        Słabo z czytaniem ze zrozumieniem. Miał Pan przedstawić sposób na ochronę przed taką sytuacją a zaleca niekorzystanie z portalu. Owszem, to dobry sposób, ale to tak, jakby zadzwonić do mechanika i zapytać o niesprawne hamulce, mechanik na to mówi, że ma sposób na taką sytuację, niech Pan nie wsiada do samochodu…

        • Artur Judkowiak

          Jestem mechanikiem z wieloletnim stażem i taka sytuacja jaką Pan tu opisał może mieć miejsce, samochodem można jeździć tylko proszę nie używać hamulców 🙂 dziękuję

      • Chytruseq

        W takim razie wystarczyło napisać, że na obecną chwilę nie ma rozwiązania, a z serwisu korzystamy na własne ryzyko i w miarę możliwości nie korzystać z allegro do czasu rozwiązania problemu, a nie że przedstawisz jak się przed nim chronić, ponieważ to co napisałeś nie jest ochrona, a ucieczka od problemu. Poprzez ochronę rozumiem coś co CHRONI nas przed niebezpieczeństwem jednocześnie pozwoli nam dalej korzystać z serwisu, nie czekając, aż allegro łaskawie się za to weźmie i naprawi.

        Problem bardzo dobrze rozumiem, ponieważ oszust otrzymując dostęp do naszego konta może sporo problemów nam narobić, a ja nie „kisnę” z problemu, a z Twojego rozwiązania.

        Problem jak najbardziej należy ujawnić, a nawet rozdmuchać i jak allegro zauważy, że przez to ruch na stronie się zmniejszył, to może weźmie się za robotę. Jak tego nie naprawią to nas będą czekać problemy i będziemy może latać po sądach i komisariatach, aż wszystko wyjaśnimy.

      • Lookso


x