16

Korzystasz z Allegro? Narażasz się na poważny atak – uważaj!

uokik kończy postępowanie w sprawie allegro
Jak wskazuje Niebezpiecznik, co najmniej od 17 lutego Allegro boryka się z nieprawidłową konfiguracją serwerów, która powoduje, że w serwisie znajdują się obszary nieobjęte szyfrowaniem (HTTPS). W przypadku witryny, w której użytkownicy bardzo często podają newralgiczne dane może to ich narazić na poważne w skutkach ataki.

Czytelnik Niebezpiecznika powiadomił serwis o tym, że od pewnego czasu niektóre obszary witryny nie są objęte protokołem HTTPS. Jak się okazuje, nie tylko widoki aukcji są wadliwe, ale również panele służące do wystawiania aukcji oraz Centrum zniżek. Jak podaje źródło, w pewnych warunkach może to ułatwić cyberprzestępcom przejęcie naszego konta wraz z danymi – a skoro w serwisie Allegro często udostępniamy newralgiczne informacje, można sądzić iż użytkownicy platformy mogą paść ofiarami ataków hakerów.

Co może zrobić cyberprzestępca w takiej sytuacji?

W pewnych warunkach możliwe jest przejęcie danych osobowych użytkowników lub zapoznanie się z historią kupionych już przedmiotów. Ponadto, jak wykazał Niebezpiecznik możliwe jest wystawienie aukcji na przejętym koncie użytkownika. Inne operacje wymagają podanie hasła, więc raczej nie ma się co o nie martwić.

allegro https

Wystarczy, że atakujący będzie znajdował się w tej samej podsieci lub otwartej lub szyfrowanej za pomocą protokołu WEP sieci bezprzewodowej. Są to więc bardzo szczególne, nieco problematyczne do spełnienia przez cyberprzestępców warunki, ale dla chcącego nic trudnego. O ile we własnych sieciach domowych jesteśmy raczej bezpieczni, warto zwrócić uwagę na sieci w miejscach publicznych (np. na lotniskach, w centrach handlowych), gdzie hakerzy mogą polować na użytkowników Allegro.

Allegro zdaje się uznawać to za prawidłowe działanie

Jeden z komentarzy w serwisie Niebezpiecznik prezentuje szczegóły korespondencji z zespołem Allegro – wskazuje on na to, że usługodawca brak szyfrowania w niektórych obszarach strony uznaje za prawidłowe działanie serwisu. Nie jestem przekonany do takiego wytłumaczenia, zwłaszcza że historia cyberbezpieczeństwa zna naprawdę głośne przypadki wykorzystania braku szyfrowania na stronie i co więcej – giganci technologiczni bardzo mocno wspierają przejście całego internetu na bezpieczny protokół.

M. in. Google zapowiedziało, że będzie aktywnie ostrzegać użytkowników w swoich produktach (Chrome) przed stronami, które nie oferują szyfrowanych połączeń. Mało tego, doskonale wiadomo o tym, iż strony nie posiadające takiego zabezpieczenia będą w Google znajdować się na niższych miejscach niż pokrewne, na których użytkownicy mogą skorzystać z protokołu HTTPS. Allegro powinno więc zweryfikować swoją postawę względem szyfrowania i jak najprędzej ten błąd naprawić. Kiedy to by miało nastąpić – nie wiadomo, bo od tego usługodawcy spływają do mediów właściwie sprzeczne ze sobą sygnały. Miejmy jednak nadzieję, że w najbliższym czasie zabezpieczenia będą działać tak jak należy.

Oświadczenie Allegro:

Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta.

Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta