[NEWS] Allegro.pl i chwilowe niebezpieczeństwo

[ra-v]

Wczoraj, przez ok. godzinę można było poznać hasło (i inne dane) dowolnego użytkownika serwisu Allegro, o ile brał on udział w jakiejś aukcji w ciągu ostatnich 90 dni. Co gorsza, błąd potwierdził stawiane od dawna hipotezy, że serwis przechowuje hasła użytkowników w formie niezahashowanej. Poniżej wyjaśniamy na czym polegał błąd i przestawiamy stanowisko serwisu Allegro.

(...)

Slavkowski podesłał przykładową tablicę reprezentującą danego użytkownika (informacje “wrażliwe” zostały ocenzurowane):

["us_id"]=>int(xxx)
["us_first_name"]=>string(6) "xxx"
["us_last_name"]=>string(5) "xxx"
["us_company"]=>string(0) ""

(...)

["us_password"]=>string(12) "hasło_nieshashowane!

Źrodło: niebezpiecznik.pl

To że się zdarzyło to dla mnie nic, trudno poszło, zdarza się, opinię sobie każdy wystawi.
Ale to, że hasła w tak wielkim i ponoć świetnym serwisie są niezaszyfrowane lub niezahaszowane to już jest jak niepowiemco niepowiembezczego.....

[Procio]

Dostałem meila od Allegro w w/w sprawie, zresztą zapewne jak każdy użytkownik Allegro.
Na początku nie zmieniałem hasła, wydawało mi się to zbędne, ale czytając tego NEWS'a postanowiłem jednak zmienić...

Ale to, że hasła w tak wielkim i ponoć świetnym serwisie są niezaszyfrowane lub niezahaszowane to już jest jak niepowiemco niepowiembezczego.....

Również mnie to zdziwiło. Wydawało mi się, że tak wielki portal, tak bardzo popularny i w dodatku.... SKLEP, gdzie każdy przechowuje swoje dane i robi "zakupy" powinien być zabezpieczony w 100%, a ten błąd jest po prostu IMO dziecinny, żeby przechowywać niezahashowane hasła...


Póki co moje hasło zostało zmienione, to samo proponuję innym.

[ja.michal]

Dostałem meila od Allegro w w/w sprawie, zresztą zapewne jak każdy użytkownik Allegro.

Ciekawe bardzo. Ja nic nie mam.

A taki numer to kwalifikuje się na zawiadomienie o popełnieniu przestępstwa. Nie zabezpieczyli danych.

[Sundance_kid]

A taki numer to kwalifikuje się na zawiadomienie o popełnieniu przestępstwa. Nie zabezpieczyli danych.

Dobre. A mi chcieli sprawe do sądu grodzkiego dawać bo byłam dłuzna bodajrze 5 złotych a sami takie cyrki odstawiają.

[Procio]

A mi chcieli sprawe do sądu grodzkiego dawać bo byłam dłuzna bodajrze 5 złotych a sami takie cyrki odstawiają.

Za 5 złotych zakładać sprawę do sądu?

[ja.michal]

Procio, wiesz ja widziałem przypadek, że w US brakowało 2gr do zapłaty podatku od dochodu i wysłali polecony za 5zł, żeby te 2gr wpłacić.

[Procio]

w US brakowało 2gr do zapłaty podatku od dochodu i wysłali polecony za 5zł, żeby te 2gr wpłacić.

Taa... Walczyć o 5zł, kiedy samo założenie sprawy w sądzie więcej wyniesie

[ja.michal]

Art. 13. Opłatę stosunkową pobiera się w sprawach o prawa majątkowe; wynosi ona 5 % wartości przedmiotu sporu lub przedmiotu zaskarżenia, jednak nie mniej niż 30 złotych i nie więcej niż 100.000 złotych.

[Procio]

ja.michal, dzięki

[ja.michal]

Oczywiście to opłata dla sytuacji, którą Sundance_kid miała. Wszystko zależy o co chodzi.

[Jaco]

Dostałem meila od Allegro w w/w sprawie, zresztą zapewne jak każdy użytkownik Allegro.

Dostałem ale hasło zmieniłem drugiego dnia.

[luckd]

Ja nie dostałem maila, czy muszę zmieniać hasło?

[wojteks]

Ja nie dostałem maila, czy muszę zmieniać hasło?

Ja zmieniłem a Ty zrób jak chcesz.

[Procio]

Ja nie dostałem maila, czy muszę zmieniać hasło?

Nikt nie musiał. W meilu była tylko informacja o tym, że powinno zmienić się hasło, lecz nie musowo.

[krystianb]

Nikt nie musiał.

Ja przez ostatnie 3 miesiące nic nie wygrałem, chyba nawet nie licytowałem. To ani maila ani powiadomienia i formularza zmiany hasła przy logowaniu nie miałem.

[dziobak99]

Nikt nie musiał. W meilu była tylko informacja o tym, że powinno zmienić się hasło, lecz nie musowo.

Ja dostałem maila, dodatkowo przy logowaniu musiałem zmienić hasło.
Wyskoczyło mi okno ze zmianą hasła, jako nowe wpisałem "stare hasło" i wyskoczył błąd, że muszę zmienić hasło na inne niż stare, bez tego nie mogłem się zalogować.

[marens]

To ani maila ani powiadomienia i formularza zmiany hasła przy logowaniu nie miałem.

Tak samo jak ja. Z tym, że w ostatnich 90 dniach wygrałem licytacje.

[Jaco]

Ja dostałem maila, dodatkowo przy logowaniu musiałem zmienić hasło.

Tak samo było i u mnie więc

Nikt nie musiał. W meilu była tylko informacja o tym, że powinno zmienić się hasło, lecz nie musowo.

zmiana musi być.

[Internet]

A teraz przez GG mozna monitorować paczke