Allegro odpowiada

20 grudnia 2006 0 przez Michał Tomaszkiewicz

Otrzymaliśmy od Allegro komentarz w sprawie luk w bezpieczeństwie systemu platformy aukcyjnej odnalezionych przez Łukasza Lacha z serwisu Hacking.pl.
O tym, że korzystając z kilku technik ataków można było uzyskać dane dotyczącego użytkowników Allegro (między innymi login i hasło, adres, numery telefonów) oraz wykonać operacje na koncie atakowanego allegrowicza (na przykład dokonać zakupu czy wystawić dowolną aukcję) napisaliśmy wczoraj.

Natychmiast poprosiliśmy przedstawicieli Allegro ustosunkowanie się do tych zarzutów. Odpowiedź Patryka Tryzubiaka prezentujemy poniżej.

W związku z pojawiającymi się w niektórych serwisach internetowych informacjami o braku zabezpieczenia serwisu Allegro.pl chciałbym zdementować te informacje. Rzeczywiście sytuacja opisywana przes serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest co najmniej nadużyciem.

Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza. Rzeczywiście dokonał on tego czego dokonał. Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. Za to jesteśmy mu wdzięczni. Tak jak jesteśmy wdzięczni za każdą informację mogącą pomóc w zwiększeniu bezpieczeństwa i funkcjonalności naszego serwisu.

Faktycznie nasza reakcja na maila Pana Łukasza była spóźniona. Nie wynikało to jednak ze złej woli pracowników naszego serwisu. Poprostu mail ten trafił do kolejki w formularzu zgłoszeniowym. W związku z okresem przedświątecznym pozostał tam dłużej niż powinien. Niestety okres przedświąteczny jest dla nas zawsze związany ze wzmożoną pracą oraz dużo większą ilością korespondencji.

W momencie gdy dotarliśmy do informacji od Pana Łukasza nasz dział techniczny rozpoczął natychmiastowe prace nad poprawieniem bezpieczeństwa naszego serwisu.

W celu wyeliminowania podobnych problemów komunikacyjnych w przyszłości stworzyliśmy oddzielną kolejkę:
„Bezpieczeństwo>Zgłoszenia dotyczące zabezpieczeń serwisu” oraz „Sprawy techniczne>Zgłoszenia dotyczące zabezpieczeń serwisu”. W obu tych formularzach można zgłaszać uwagi dla naszego Działu Technicznego.

Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci. Faktycznie problem ten miał miejsce. Został już jednak naprawiony.

Nie jest jednak tak, że dowolna osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl. Nieprawdą jest, że – jak twierdzi Pan Rafał Pawlak z hacking.pl – „Każdy Użytkownik był skazany na łaskę osób, które doskonale wiedziały, że błędy w oprogramowaniu dają im pełną kontrolę nad kontem każdego handlującego na Allegro”.

I ostatni zarzut, czyli przerwa technicza zapowiadana w naszym serwisie (Allegro zapowiedziało przerwę techniczną w nocy ze środy na czwartek – przyp. ITbiznes.pl). W żaden sposób nie jest ona związana z problemem wykazanym przez Pana Łukasza.

Podsumowując, chciałbym jeszcze raz podkreślić, że twierdzenie jakoby poziom zabezpieczeń serwisu Allegro był zerowy jest nieprawdziwe. Kłopoty z zabezpieczeniami miały także inne serwisy na świecie.

Już poza oficjalnym komunikatem Patryk Tryzubiak dodał jeszcze: „ Myślę, że bardzo krzywdzące dla nas jest
twierdzenie, że nie zależy nam na bezpieczeństwie Użytkowników, lub że ignorujemy takie sprawy. Nasza 7-letnia historia na rynku polskim może świadczyć, że dbamy o to, by serwis był bezpieczny i przyjazny Użytkownikom.”