Zmień hasło na Allegro, nim ktoś zmieni je za ciebie

To ludzki błąd spowodował wyciek danych z Allegro – tłumaczy rzecznik serwisu, Patryk Tryzubiak. – Ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników – tych, którzy brali udział w dowolnej aukcji w ciągu ostatnich 90 dni.

Przez około godzinę (23 listopada 2010, okolice 16-17) w webAPI Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza również haseł w czystej postaci - tę informację wysłał portalowi niebezpiecznik.pl korzystający z webAPI Allegro programista.

Oświadczenie rzecznika Allegro:

Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI Allegro zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane.

Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych. Ważną informacją jest fakt, że dostęp do webAPI Allegro nie jest publiczny. Aby móc korzystać z tej usługi potrzebny jest klucz dostępu wystawiany przez serwis allegro. Oznacza to, iż doskonale wiemy kim są odbiorcy usługi. Każde logowanie do webAPI jest rejestrowane.



Problem został usunięty przez nasz zespół po otrzymaniu pierwszych zgłoszeń o jego występowaniu. W tej chwili trwa analiza tego zdarzenia. Sprawdzamy jak dużej ilości kont mógł ten problem dotyczyć. Wydarzenie to miało miejsce przy niewielkim ruchu w serwisie. Nie dotarły do nas żadne informacje o próbach nielegalnego wykorzystania tego błedu. Niemniej ze względu na profilaktykę uruchamiamy akcję wymuszenia zmiany haseł u części naszych Użytkowników. Jednocześnie pragniemy przypomnieć, iż przechowywanie oraz przetwarzanie danych pozyskanych nielegalnie jest przestępstwem zagrożonym karą więzienia do lat dwóch. Każdy kto wszedł w posiadanie takich danych powinien je należycie zabezpieczyć przed nieautoryzowanym dostępem oraz trwale usunąć.

Błąd został szybko naprawiony, jednak mimo to warto zmienić hasło – nie tylko w serwisie allegro.pl, ale również w innych portalach, w których użytkownik do tej pory posługiwał się tym samym loginem i tym samym hasłem.

kj

Źródło:

Przeczytaj też

Teraz konto w mBanku za 0 zł i z oprocentowaniem 4%. Załóż online!
Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~s_T

coś z tym allegro ostatnio chyba nie tak
nie ma numerów aukcji , nie można się skontaktować z innym użytkownikiem ( i co z tego , że można wystawić opinię jak jest ograniczona znacznie ilość znaków do wpisania
trochę się szata graficzna aukcji zmieniła ale niby po co

coś się zaczyna nie tak z allegro, zamiast coś zrobić lepszego , to czort wie co

Pokaż cały komentarz ! Odpowiedz
0 0 ~z0mbie

wystawiają dane a potem stwierdzają, że są one nielegalne i obciążają tego kto je odbiera - niezla komedia

! Odpowiedz
0 1 ~syf z tego Allegro

Wstyd i hańba dla takiego rzekomo serwisu sprzedażowego

!

Znajdź nas na Facebooku