Uważajcie na serwis Allegro – Wasze dane oraz konto mogą zostać przejęte!

mm Michał Derej Artykuły 2018-03-01

Aktualizacja: aplikacja mobilna Allegro jest bezpieczna. Zostaliśmy o tym poinformowani przez zarząd portalu. Oświadczenie firmy:

Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP  (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta.
Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta.
Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP  (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej.
Obecnie Allegro jest w trakcie przechodzenia na szyfrowany protokół HTTPS. Proces ten zakończy się w najbliższym czasie.

Allegro jest najpopularniejszym serwisem aukcyjnym w naszym kraju, o czym mówi nawet liczba kont zarejestrowanych w serwisie – jest ich ponad 20 milionów. Co miesiąc na portalu dokonywanych jest również kilkanaście milionów transakcji. Z tego powodu dziwi fakt, że ostatnimi czasy Allegro zdecydowało się wyłączyć szyfrowanie na niektórych podstronach serwisu, co naraża wszystkich użytkowników na kradzież danych oraz konta! W dalszej części tego artykułu przedstawię Wam, na czym dokładnie polega niebezpieczeństwo oraz jak należy się przed nim chronić.

Co dokładnie się stało?

Opisywany przeze mnie w tym artykule portal aukcyjny istnieje już od ponad 18 lat. Jak podaje serwis Niebezpiecznik, platforma aukcyjna Allegro od niedawna szyfrowana jest jednak praktycznie na każdej podstronie oprócz:

  • widoku aukcji,
  • centrum zniżek,
  • strony wystawiania przedmiotu.

Nieuwaga mniej doświadczonego użytkownika, który nie zauważy, że przeglądarka przestała wyświetlać znaczek bezpiecznej kłódki może wiele kosztować, ponieważ każda osoba korzystająca z serwisu narażona jest na podsłuchanie transmisji bądź przejęcie ciasteczek sesji. Na czym dokładnie polegają wspomniane przeze mnie zagrożenia?

Podsłuchanie transmisji i przejęcie ciasteczek? Co to oznacza?

Ciasteczka sesji (szerzej znane jako „HTTP Cookies”), to pliki z informacjami na temat aktualnej sesji użytkownika. Są one przesyłane na serwery (w tym przypadku firmy Allegro) z każdym żądaniem, więc również po przejściu na nieszyfrowane podstrony serwisu aukcyjnego (czyli np. na daną aukcję, na której chcemy zakupić przedmiot). Brak szyfrowania oznacza, że unikalny identyfikator sesji, po którym rozpoznaje nas strona internetowa, na serwery podróżuje w formie pliku tekstowego, który odczytać może atakujący. W tym miejscu robi się niebezpiecznie – po przejęciu ciasteczek haker przejrzeć może pełne dane osobowe wraz z numerem telefonu, które przypisane są do naszego konta oraz wystawić w naszym imieniu aukcję, by narazić nas na dodatkowe koszty.

Zobacz też: Które telefony z Androidem są najbezpieczniejsze?

Osobą atakującą może być każdy – wystarczy, że jego komputer podłączony jest do tej samej sieci Wi-Fi lub podsieci. Co ciekawe, nasze dane wykraść może również np. firmowy administrator, ponieważ ma on podgląd na wszystkie przesyłane za pośrednictwem Internetu informacje.

Boję się o swoje dane osobowe – co mam zrobić?

Jeśli korzystacie z serwisu Allegro, to Wasze obawy są w pełni uzasadnione. Z powodu błędu (który przez pomoc techniczną Allegro jest bagatelizowany, ponieważ rzekomo jest to celowe działanie) Wasze dane mogą zostać wykradzione. Z tego powodu zalecam Wam niekorzystanie z portalu aukcyjnego aż do czasu wyjaśnienia sprawy – w ten sposób Wasze informacje pozostaną bezpieczne i nie będziecie musieli martwić się o przykre konsekwencje braku szyfrowania. Bądźcie bezpieczni!

Źródło: Niebezpiecznik

 

 

 





x