Każdy zarejestrowany użytkownik Allegro ma w serwisie indywidualne konto (zwane "Moje Allegro") na które musi się zalogować, jeśli chce coś kupić lub sprzedać. Jeśli ktoś się na to konto włamie, może wszystkie dane osobowe zdobyć, a także podszyć się pod właściciela konta i działać na jego rachunek. Coś takiego określa się jako kradzież tożsamości.
Taki atak na Allegro.pl jest dla fachowca banalny, poziom bezpieczeństwa tego serwisu jest równy zeru - zaalarmował we wtorek serwis internetowy Hacking.pl. W środę zrobiła się z tego burza, a Patryk Tryzubiak w imieniu Allegro.pl komentujący sprawę dla mediów przeżył lawinę telefonów od dziennikarzy. Nic dziwnego, Allegro to największa w Polsce witryna handlowa, ma 3 mln zarejestrowanych użytkowników. Obecnie na serwisie trwa ponad 1,8 mln aukcji. Zeszłoroczne obroty na aukcjach Allegro sięgnęły 1,5 mld zł.
Znalezienie dziur w systemie bezpieczeństwa Allegro zajęło nam zaledwie trzy minuty - donosi Łukasz Lach, autor hakerskiego eksperymentu. "Błędy są bardzo poważne (...) Osoba atakująca może bez większego trudu wykraść wszystkie dane osobowe, łącznie z adresem i numerem telefonu, nazwę użytkownika i hasło, listę wystawionych i obserwowanych aukcji itd. (...) Można swobodnie wystawić dowolną aukcję" - czytamy w Hacking.pl.
Kradzież tożsamości to na świecie jeden z poważniejszych problemów w internecie. Zazwyczaj jest tylko wstępem do prawdziwych oszustw, kradzieży i defraudacji dokonywanych w imieniu ofiary. Sainsbury's Bank opublikował w ubiegłym tygodniu sondaż autorstwa firmy TNS , z którego wynika, że ponad 4 mln Brytyjczyków ucierpiało kiedyś w wyniku skradzenia tożsamości (tracąc przeciętnie po ponad 3 tys. funtów).
- Nie ma się czego bać, wszystko jest już w porządku. Dziura została załatana. Żadne dane nie wyciekły - zapewnia Tryzubiak. Allegro przyznaje, że opisana metoda rzeczywiście umożliwiała włamanie i nawet w oficjalnym oświadczeniu aż dwukrotnie podziękowało Lachowi za wykrycie luki. Całą aferę uważa jednak za rozdmuchaną. - Nie była możliwa żadna hurtowa kradzież danych, najwyżej włamania na pojedyncze konta. Poza tym operacja wymagała tego, aby atakowany internauta był w tej samej chwili zalogowany na Allegro i jeszcze trzeba go było skłonić do kliknięcia w odpowiedni link. A to nie takie proste - tłumaczy przedstawiciel Allegro.pl.
Na noc ze środy na czwartek serwis wyznaczył przerwę techniczną. Hacking.pl podejrzewa, że ma to związek z opisanymi problemami. Allegro twierdzi, że to przerwa rutynowa.
Problem zapewne nie wyszedłby na światło dzienne, gdyby Allegro odpowiednio zareagowało na e-maile autora eksperymentu. Przed ujawnieniem sprawy poinformował on serwis o wykrytej luce i podawał przykłady ataków. Niestety, poznańska spółka, często krytykowana za godny monopolisty stosunek do klientów, ostrzegawcze e-maile zignorowała. Jak dziś tłumaczy - po prostu utknęły w świątecznej kolejce.
