System zabezpieczeń Allegro nie stanowi zbyt dużej przeszkody; w kilka minut można wykraść dane osobowe dowolnego użytkownika, przejąć jego login i hasło oraz wystawić nową aukcję.
System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, co umożliwia pozyskanie dostępu do wspomnianych powyżej danych i przeprowadzenia czynności związanych z obsługą konta czynności dzięki odpowiednio spreparowanemu adresowi URL.
Jak podaje serwis Hacking.pl, znalezienie błędów w skryptach administracyjnych zajęło dosłownie kilka minut. Na poparcie swoich słów witryna prezentuje galerię zrzutów ekranu z danymi pozyskanymi podczas wykorzystywania słabości oprogramowania Allegro.
Hacking.pl dwukrotnie wysyłał informacje o odnalezionych błędach do pracowników Allegro, jednak zgłoszenia pozostały bez odzewu. My także poprosiliśmy przedstawiciela Allegro o komentarz, niestety – po otrzymaniu około godziny 10 informacji o „przekazaniu sprawy do osób odpowiedzialnych za kontakty z mediami” – kontakt się urwał.
Aktualizacja: Otrzymyliśmy wiadomość od Allegro – platforma aukcyjna nie jest jeszcze w stanie ustosunkować się do zarzutów. Trwają prace nad weryfikacją informacji o lukach. Patryk Tryzubiak – PR Manager Allegro – obiecał nam udzielić pełnej odpowiedzi jutro.
