Dziwne rzeczy dzieją się z Allegro najpierw bardzo długa awaria, która trwała przez pół dnia a teraz maile z prośbą o zmianę hasła. Co ciekawe jeden z serwisów Allegro czyli buyvip.com rozesłał do użytkowników informację o tym, że mogło dojść do nieautoryzowanego dostępu do ich kont i również proszę o zmianę hasła.

Żeby nie być gołosłowny zamieszam screeny:

Buyvip.pl ze strony serwisu



I mail od Allegro (podesłał Bogusław Milka)


Kliknij aby powiększyć

Bardzo dziwne zachowanie – wysyłanie w sobotę takiej komunikacji? Czy wszyscy dostali tego maila? Co z serwisem buyvip, który z tego co wiem ma połączone konto z Allegro? Nie wygląda to niestety dobrze. Pierwszy raz spotkałem się z sytuacją w której ze względu na zwiększanie bezpieczeństwa, ktoś prosił użytkowników o zmianę hasła.

Dajcie znać jeśli również otrzymaliście podobny mail od Allegro.

[Aktualizacja]
Allegro odpowiadając na pytanie (na Facebooku) jednego z użytkowników, mówi że zmiana haseł na Allegro związana jest z sytuacją z Buyvip. Dziwne, że nie podali tego w komunikacji do zagrożonych użytkowników?

[Aktualizacja 2]
Odpowiedź od Allegro:

„Panie Grzegorzu dzisiejsza procedura zmiany haseł w serwisie Allegro ma związek z problemem, który w dniu wczorajszym miał centralny BuyVIP w Hiszpanii (podejrzenie włamania na ich serwery). Nie ma to żadnego związku z czwartkową awarią serwisu Allegro”

Spodobał Ci się tekst? Poleć znajomym:

Tagi: ,

iStore

iStore

  • kamilzych

    Bardzo ciekawe, ja na przykład nie dostałem nic takiego.

  • http://antyweb.pl Grzegorz Marczak

    Na szybko sprawdziłem i znajomi dostali + na G+ ludzie też potwierdzają

  • Łukasz Krawczyk

    Ja otrzymałem dziś takiego maila.

  • Kuzek

    Ja nic nie dostałem (na razie). :)

  • http://www.facebook.com/nielubiezbieracjagod Bartosz Kolasiński

    Ja nic takiego nie dostałem, ale i tak zmienię…

  • jezter

    Dostałem z samego allegro o 19:24.
    Po zalogowaniu system wymusił zmianę hasła, dodatkowo sprawdzając nazwisko panieńskie matki|telefon|kod pocztowy

    Witaj Aaaa Bbbb (xxxx),
    Kontynuujemy akcję zwiększania bezpieczeństwa w Allegro. W związku z tym przy najbliższym korzystaniu z serwisu zmień swoje hasło do konta.

    Jeśli nie zmienisz hasła, stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Pamiętaj, aby uaktualnić także hasło w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

    Nasza prośba podyktowana jest troską o bezpieczeństwo Użytkowników i nie ma związku z niedawną awarią w serwisie. Przepraszamy Cię za niedogodności, jakie może spowodować konieczność zmiany hasła.

  • http://www.facebook.com/michal.herok Michał Herok

    Potwierdzam, że otrzymałem wszystkie 3 maile i uważam to za niebywały skandal, żeby Grupa Allegro wykazała się tak dalekoidącą niekompetencją, co gorsza już któryś raz z rzędu.

  • http://antyweb.pl Grzegorz Marczak

    Czy osoby które dostały taki mail miały też konto na buyvip?

    • jezter

      Ja tak. Ale tam są chyba rozłączne systemy autentykacyjne – mam inne hasła, w buyvip/markafoni nie ma też identyfikatorów, są ‘same’ emaile.
      Scenariusz optymistyczny: coś się rozsypało przy próbie integracji baz użytkowników?

  • http://www.ecommerce.edu.pl Paweł

    Bardzo dziwne zachowanie – wysyłanie w sobotę takiej komunikacji? Czy wszyscy dostali tego maila? Co z serwisem buyvip, który z tego co wiem ma połączone konto z Allegro?

    Gdybyś chciał oficjalne stanowisko to daj znać – skontaktuję z odpowiednia osobą. Całość – z tego co wiem – była dziś juz wyjaśniana na FB i na stronach Allegro oraz Markofoni (dawny buyvip).

  • http://antyweb.pl Grzegorz Marczak

    Paweł: była dziś juz wyjaśniana na FB i na stronach Allegro oraz Markofoni (dawny buyvip).

    Wyjaśnione było z tego co czytałem wszystko jeśli chodzi o buyvip – ale kontakt poproszę

  • http://www.komunikatory.pl Jakub

    U mnie zero maili, ani po zalogowaniu jakiś próśb o zmianę hasła itp ;)

  • http://www.facebook.com/profile.php?id=100000507715657 John Sheridan

    Dostałem i od allegro i buyvip`a. Przy logowaniu do allegro – system zażądał podania nowego hasła i danych weryfikacyjnych czy aby ja to ja.

  • http://www.facebook.com/gszajowski Grzegorz Szajowski

    nie miałem konta na buyvip i od allegro nic nie dostałem.

  • http://www.facebook.com/japonka Marta Szczepańska

    Dostałam oba maile + trzeci od Markafoni (nowe BuyVip), potwierdzam.

  • pauluZ

    Faktycznie nadchodzi czas zmian:) – ja jeszcze nie dostałem…

  • http://www.facebook.com/gumienny Michał Gumienny

    Na wykopie była też świeża sprawa (4 września) sprzedaży kuponów na wycieczki po 3200 złotych, gdzie ktoś uzyskał dostęp do bodajże 3 kont. Wystawił towar na każdym z kont i szukał naiwnych. Parę osób zapewne się nacięło, dopóki ktoś nie zwietrzył przekrętu i nie zgłosił sprawy do allegro. Konta ponoć są już zawieszone, ale kto wie czy nie zajął już następnych. i ustawił sprzedaż – identyczne kupony, cena i layout aukcji.

    Co ciekawsze osoba może być podobno trudna do namierzenia, z racji na to, że prosi o wpisanie w tytule przelewu ciągu jakichś liter i cyfr, które przekierowują pieniądze bezpośrednio do serwisu wymieniającego kasę na bitcoin czy jak to się zwie.

    Więcej pod linkiem, trochę się temat rozwinął
    http://www.wykop.pl/ramka/867875/kolejny-walek-na-allegro/

    • http://niebezpiecznik.pl Piotr Konieczny

      Od niedawna Bitomat.pl/MtGox.pl wprowadził taki sposób wpłacania pieniędzy, żeby ataki o których piszesz nie były możliwe: http://niebezpiecznik.pl/post/allegro-bitcoin-zbrodnia-doskonala/?aw

    • http://www.facebook.com/gumienny Michał Gumienny

      Pieniądze szły na konto bitcoin.pl, nie wiem czy to to samo co bitomat.pl i czy te zabezpieczenia też się go tyczą.

    • http://niebezpiecznik.pl Piotr Konieczny

      Nie ma czegoś takiego jako konto bitcoin.pl – jest bitomat.pl obsługujący walutę bitcoin. Ktoś w tekście, który linkujesz źle odwołał się do nazwy (pewnie mu się pomyliło). Sprawa dotyczyła bitomat.pl i tam też zostały wprowadzone zabezpieczenia w postaci tytuły przelewu.

    • http://www.facebook.com/gumienny Michał Gumienny

      Aa, no to teraz wszystko jasne, dzięki za wyjaśnienie. Co do samego procederu, to dobrze, że go ukrócili.. Cholera wie ile osób się na takie akcje nacięło i zostało bez grosza..

  • Lokii

    brak informacji na skrzynce

  • http://www.arnoldbuzdygan.com Arnold Buzdygan

    Skandalem jest to, że Alegro przechowuje niezaszyfrowane hasła.

    Cała reszta jest już tego konsekwencją.

    • http://www.facebook.com/trasz Edward Tomasz Napierała

      Tak może tytułem sprostowania, bo ktoś przypadkiem mógłby w powtarzane przez ciebie brednie uwierzyć: hashowanie haseł utrudnia sytuację w przypadku wycieku samej bazy, ale jeśli atakujący będzie miał możliwość wrzucenia własnego kodu do przechwytywania haseł przy uwierzytelnieniu, to nijak nie pomoże.

      (Ogólnie, wrzucanie w takich sytuacjach tekstu o hashowaniu haseł praktycznie zawsze oznacza próbę szpanu przy zerowym pojęciu o temacie.)

    • http://www.arnoldbuzdygan.com Arnold Buzdygan

      Ogólnie to Ty masz problemy z czytaniem ze zrozumieniem.
      Nic nie pisałem o „podsłuchiwaniu” haseł i poszczególnych formach ataku.

      Pisałem WYŁĄCZNIE o tym, że NIEWYOBRAŻALNYM SKANDALEM jest trzymanie przez allegro niezaszyfrowanych haseł.

      Cała reszta, wszystkie kłopoty użytkowników z hasłami, straty pieniędzy itd. są już tylko tego konsekwencją.

      To, że allegro nie zostało za to przez NIKOGO ukarane pokazuje jakimi owczymi baranami są Polacy.

    • http://www.facebook.com/trasz Edward Tomasz Napierała

      @Arnold: A ja pisałem, że twoja wypowiedź o „NIEWYOBRAŻALNYM SKANDALU” dowodzi tylko, że nie masz bladego pojęcia, o czym piszesz, ale postanowiłeś zaszpanować.

    • http://www.arnoldbuzdygan.com Arnold Buzdygan

      Może niech ktoś życzliwy wytłumaczy Ci co napisałem bo widzę, że nadal nie rozumiesz.

      Ale jeszcze raz spróbuję – trzymanie przez Allegro NIEZASZYFROWANYCH haseł, szczególnie tworzenia zestawienia takich haseł połączonych z e-mailami, szczególnie bez ostrzegania o tym ludzi jest NIEWYOBRAŻALNYM SKANDALEM.

      Ciekaw jestem ile dziesiątek tysięcy złotych stracili przez to ich użytkownicy, ile skrzynek pocztowych jest czytanych przez pracowników allegro itd. itp.

      No, ale cóż… jak mówiłem Polacy to skończone barany o mentalności niewolników, więc Allegro dalej będzie tak postępować a ludzie dalej tracić.

  • http://pokarm.blogspot.com pokarm

    A można było zrobić hash z hasła? A po co „nasze” bazy są bezpieczne!

  • http://alle-oszust.pl Jacek

    Ja także nic nie dostałem (mam konto tylko na Allegro, mnie mam w BuyVIP).

  • http://antyweb.pl Grzegorz Marczak

    Aktualizacja posta niejako wszystko wyjaśnia , choć komunikacyjnie to się nie popisali.

  • biedny

    Same Vipy tu widze.Ja bym podejrzewal alkaide–>11 wrzesnia.

  • http://niezgrani.pl jakub tepper

    Nom, mój insider w Allegro też mówi, że z ich strony to była wyłącznie awaria, bez ingerencji stron trzecich.

  • http://koval.com.pl Koval

    śmiechu warte to wszystko. bez skapy. nie wierzę w takie przypadki ze pada allegro na cały dzien a potem hasła trzeba zmieniać.

  • grzegorz

    ja nie dostalem nic takiego…

  • http://www.facebook.com/profile.php?id=100002490426979 Piotr Rugała

    Ja również nie otrzymałem e-maila z prośbą. Najwidoczniej dostają go użytkownicy, którzy mają konto na Buy Vip.

  • xvsdvs

    sorry bo czegos nie rozumiem hasla na allegro sa niekodowane na serverach ? nie wierze ze tam takie cwele programuja

    • Michal M.

      Niestety sa dowody na to ze maja hasla albo przynajmniej ich czesc w plaintext, tu dowod http://niebezpiecznik.pl/post/powazny-blad-w-allegro-umozliwial-poznanie-hasel-uzytkownikow/

    • http://www.arnoldbuzdygan.com Arnold Buzdygan

      Oczywiście, że nie są.
      Wg oświadczenia samego Allegro nie szyfrują haseł ze względów… bezpieczeńtwa.
      Bo ruzmicie – oszuści używają przy zakładaniu tych samych haseł zawsze i łatwo po tym ich poznać :)

      A tak naprawdę to wiadomo o co chodzi.

  • http://www.alboom.pl Michał Pakier

    Ja mam dwa konta na Allegro, jedno prywatne drugie firmowe. Na prywatne dostałem prośbę o zmianę hasła. Prywatne konto jest powiązane z kontem BuyVip a firmowe oczywiście nie.

  • herakles

    Wprawdzie maila nie dostałem, ale na wszelki wypadek zmieniłem. Info podałem dalej. Dzięki!

  • Fryderyk

    Piotr Konieczny: A mieli konta na buyvip.pl? Może nasz post coś wyjaśni — mamy informacje z pierwszej ręki.
    http://niebezpiecznik.pl/post/wyciek-danych-z-buyvip-pl-teraz-markafoni-pl-serwisu-grupy-allegro/?aw

    Dostałem wymuszenie zmiany hasła na koncie, które nie ma profilu na buyvip.pl . Sprawa, a zwłaszcza tłumaczenia grupy Allegro są coraz bardziej niejasne.

  • http://www.slowikozofia.pl Szymon

    Nie korzystam z BuyVip i nie dostałem żadnego maila od allegro.

  • L.K

    A ja mam w związku z tym taki problem…. zalogowałam się na konto, żeby zmienić to hasło. Szukałam zakładek, bo nie pamiętałam jak to zrobić i mnie wylogowało… Teraz nie mogę dostać się na konto!!! Napisałam do nich co zrobić, a oni każą mi wysłać do nich zeskanowany dowód osobisty… koniecznie z dwóch stron (!!!).. celem weryfikacji!!!! Czy to nie jest za daleko idące wyciąganie danych drogą internetową??? Jak się to ma do ochrony danych??? Przecież normalnie wystarczyło podać parę odpowiedzi na ich pytania i np. zapomniane hasło wędrowało na pocztę. O co tu chodzi??? Co mam zrobić – nie bać się i wysłać ???

  • http://Pouczyc.pl M

    A mi znikło około 100 aukcji, teraz będę musiał wprowadzić to od nowa :( chyba powinni mi zwrócić za pownowne wystawienie