Allegro ma duży problem. Nasze dane nie są bezpieczne

News/Bezpieczeństwo 01.03.2018
Allegro ma duży problem. Nasze dane nie są bezpieczne

Allegro ma duży problem. Nasze dane nie są bezpieczne

Jeśli używasz Allegro, najpewniej nawet nie zwróciłeś uwagi na fakt, że część podstron nie jest szyfrowana. Ten błąd sprawia, że twoje konto może zostać przejęte. Co gorsza, póki co nie ma na to żadnego antidotum.

Jesteśmy na tyle przyzwyczajeni do popularnych usług internetowych, że bardzo często zapominamy o podstawowych zasadach bezpieczeństwa. Skoro serwis jest duży i ma miliony użytkowników, automatycznie zakładamy, że wszystko z nim jest w porządku.

No chyba, że nie jest. Taka sytuacja ma właśnie miejsce na Allegro.

Czy zauważyłeś brak kłódki na Allegro?

Przyznaję, ja też straciłem czujność, choć na strony polskiego serwisu aukcyjnego zaglądam często. Tymczasem, jak zauważył dziś Niebezpiecznik, buszowanie po Allegro jest po prostu niebezpieczne.

Niektóre sekcje Allegro, w tym np. widok strony produktu nie są szyfrowane. Jako użytkownicy jesteśmy przekierowywani z bezpiecznego protokołu HTTPS na zwykły HTTP, który nie jest szyfrowany.

Tak wygląda szyfrowana podstrona HTTPS w Safari na macOS (widać zieloną kłódkę na pasku adresu):

A tak wygląda nieszyfrowana strona w protokole HTTP.

Co to oznacza w praktyce? Czy korzystanie z Allegro jest niebezpieczne?

Zasadniczo, tak. Jeżeli jesteśmy zalogowani do Allegro, a strona przestaje być szyfrowana, możliwe jest podejrzenie ciasteczek i wykorzystanie ich do wglądu w dane użytkownika, a nawet do próby przejęcia konta na Allegro.

Osoba, która w tej sytuacji przechwyci ciasteczka, może dostać się w naszym profilu wszędzie tam, gdzie nie jest wymagane dodatkowe podanie hasła. Atakujący nie zna naszego hasła, ale nawet bez tego może wyrządzić sporo szkód. W niektórych sytuacjach może podejrzeć nasze imię i nazwisko, numer telefonu a także dane adresowe. Ba, można nawet wystawić przedmiot na sprzedaż bez naszej wiedzy!

Kto może dokonać takiego ataku? Osoby, które są w tej samej sieci, co my (bezprzewodowej lub przewodowej), a także admini sieci, przez które przechodzą pakiety danych między użytkownikiem a Allegro.

Co gorsza, w tej sytuacji nie pomaga włączenie uwierzytelniania dwuskładnikowego (ponieważ hasło nie jest potrzebne), ani nawet korzystanie z Allegro przez VPN.

W takim razie jak się bronić?

Niebiezpiecznik radzi, aby po prostu nie korzystać z Allegro do czasu naprawienia tego błędu. Bezwzględnie powinniśmy unikać Allegro w otwartych sieciach Wi-Fi, np. w hotelach, restauracjach, czy innych sieciach dostępnych praktycznie na każdym kroku w większych miastach.

Pracownicy Allegro wiedzą już o błędzie i starają się go wyeliminować. Do tego czasu trzeba mieć się na baczności i zwracać szczególną uwagę na to, czy połączenie jest szyfrowane. Obecnie każda przeglądarka internetowa informuje o szyfrowanym, bezpicznym połączeniu HTTPS, najczęściej poprzez symbol kłódki. Jeżeli go nie widzicie, korzystanie z Allegro (i innych serwisów przechowujących nasze dane, jak np. Gmail czy Facebook) nie jest do końca bezpieczne. Pamiętajcie o tym!

Dołącz do dyskusji

Advertisement