Allegro dziurawe jak szwajcarski ser? (aktualizacja)

System zabezpieczeń Allegro nie stanowi zbyt dużej przeszkody; w kilka minut można wykraść dane osobowe dowolnego użytkownika, przejąć jego login i hasło oraz wystawić nową aukcję.
System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, co umożliwia pozyskanie dostępu do wspomnianych powyżej danych i przeprowadzenia czynności związanych z obsługą konta czynności dzięki odpowiednio spreparowanemu adresowi URL.

Jak podaje serwis Hacking.pl, znalezienie błędów w skryptach administracyjnych zajęło dosłownie kilka minut. Na poparcie swoich słów witryna prezentuje galerię zrzutów ekranu z danymi pozyskanymi podczas wykorzystywania słabości oprogramowania Allegro.





Hacking.pl dwukrotnie wysyłał informacje o odnalezionych błędach do pracowników Allegro, jednak zgłoszenia pozostały bez odzewu. My także poprosiliśmy przedstawiciela Allegro o komentarz, niestety – po otrzymaniu około godziny 10 informacji o „przekazaniu sprawy do osób odpowiedzialnych za kontakty z mediami” – kontakt się urwał.

Aktualizacja: Otrzymyliśmy wiadomość od Allegro – platforma aukcyjna nie jest jeszcze w stanie ustosunkować się do zarzutów. Trwają prace nad weryfikacją informacji o lukach. Patryk Tryzubiak – PR Manager Allegro – obiecał nam udzielić pełnej odpowiedzi jutro.

Dodaj komentarz