Allegro: Hasła użytkowników widoczne dla każdego

Allegro dało się przyłapać na poważnym błędzie, który zagrażał bezpieczeństwu danych użytkowników - pisze serwis Niebezpiecznik.pl.

23 przez ok. godzinę dane osobowe i hasła użytkowników Allegro stały były dostępne dla każdego
23 przez ok. godzinę dane osobowe i hasła użytkowników Allegro stały były dostępne dla każdegomateriały prasowe

Trudno o lepszą okazję do poznania danych osobowych i hasła któregoś z użytkowników Allegro. Serwis przez godzinę stał otworem dla spragnionych takich informacji. Wystarczyło, że użytkownik wziął udział w aukcji w ostatnich 90 dniach.Błąd został zauważony przez internautę, który podpisuje się nickiem "slavkowsky". To właśnie on wysyłał informację o błędzie do serwisu Niebezpiecznik.pl:

"Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza również haseł w czystej postaci. Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt, która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.) zaczęła zwracać wyjątek 'Client: looks like we got no XML document'. Sprawdziłem więc co tak naprawdę zwraca webapi - to co zobaczyłem mnie wmurowało. Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach. Im więcej kupujących w danej aukcji, tym więcej danych i haseł".

Czujny slavkowsky podesłał też przykładową tablicę, która zawiera dane każdego z użytkowników, a którą mógł sobie podejrzeć każdy kto wykrył błąd. Allegro na szczęście szybko zareagowało na błąd. Serwis poprosił swoich użytkowników o zmianę haseł, a tych, którzy weszli w posiadanie danych o ich usunięcie. Całą sprawę skomentował rzecznik prasowy Allegro Patryk Tryzubiak:

"Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane. Z naszych dotychczasowych ustaleń wynika, iż jedynie jeden z kilkunastu użytkowników korzystających w tym czasie z klucza webAPI postanowił sprawdzić na czym polega problem błędnej odpowiedzi serwera. W wyniku tego uzyskał dostęp umożliwiający korzystanie z dodatkowych/niepożądanych informacji. Na tę chwilę, z naszych analiz wynika iż było to jedyne odwołanie do danych".

Allegro zapewniło, że luka została już usunięta.

Mariusz Kosakowski

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas