Zakopał Allegro na Wykopie - oszustwo czy wielka odwaga?

"Każdy pracownik Allegro widzi hasła użytkowników", a zabezpieczenia serwisu nie są najwyższej jakości - między innymi takich nowinek mogliśmy dowiedzieć się od osoby podającej się na Wykopie za byłego pracownika Allegro.

Pytaj o wszystko. Naprawdę o wszystko

 

Na Wykopie już od jakiegoś czasu pojawia się cykl AMA - Ask Me Anything, czyli pytaj o wszystko. W jego ramach pojawili się już żołnierz Batalionu Reprezentacyjnego Wojska Polskiegozawodowy kosmolog, członek Mensy czy wychowawca z domu dziecka. Formuła jest prosta - Wykopowicze zadają pytania, a główny bohater danego odcinka stara się na nie odpowiedzieć i przybliżyć swoją profesję. Nie o sam zawód jednak chodzi. Społeczność Wykopu faktycznie pyta "o wszystko", także o kwestie najbardziej kłopotliwe. Tak więc pracownik domu dziecka pytany jest między innymi o seks i przemoc w placówkach wychowawczych, albo o to, ilu wychowanków trafia na studia wyższe, a kosmolog o koncepcję elektrycznego Wszechświata. Jak widać, AMA to bardzo ciekawa formuła.

Jest jednak pewien haczyk - jak powiedział nam Michał Białek, dyrektor operacyjny Wykopu

W serwisie są dwa rodzaje AMA. Pierwsze to takie, które może założyć każdy, drugi rodzaj to AMA, które są pod naszym patronatem.

Do tej pory Wykop patronował na przykład AMA ze Smoleniem i jego fundacją. Ask Me Anything z byłym pracownikiem Allegro (lub przynajmniej osobą, która się za taką podaje) nie było objęte patronatem Wykopu. Okazuje się bowiem, że wątek może założyć każdy, ale to od społeczności i atrakcyjności zawodu proponowanego w AMA zależy, czy trafi na stronę główną Wykopu.

Kim jest główny bohater AMA z Allegro?

 

Każdy wątek z cyklu Ask Me Anything rozpoczyna krótki wstęp, w którym główny bohater odcinka przedstawia się w kilku słowach. Nie inaczej jest w tym przypadku

Były pracownik znanego polskiego portalu aukcyjnego. Długo się nad tym zastanawiałem, ale podjąłem decyzję. Pytajcie o co chcecie.

Pracownik pozostaje anonimowy, ale zdradza o sobie sporo informacji.

Fot. Wykop

Znamy więc dział w którym pracował, jak również okoliczności które doprowadziły do tego, że Allegro jest już jego byłym pracodawcą.

Fot. Wykop

Jak wspomnieliśmy już wyżej, w AMA może wziąć udział każdy. Michał Białek zaznacza, że

AMA może dodać każda osoba, która uważa, że ma do zaoferowania ciekawy know-how i tak było w tym przypadku.

Nie ma procesu weryfikacji osób biorących udział w AMA. Nie wiemy więc ze 100% pewnością, czy osoba podająca się za byłego pracownika Allegro faktycznie była zatrudniona w największym polskim serwisie aukcyjnym. Jeśli jednak przyjrzymy się uważnie jego wypowiedziom zauważymy, że coś musi być na rzeczy.

Wszystko, co chcecie wiedzieć o Allegro

 

Allegro to słowo-klucz, więc we wczorajszym AMA znalazło się ponad 400 komentarzy. Były pracownik Allegro szeroko i bez skrępowania odpowiadał na najbardziej nawet kłopotliwe  pytania dotyczące jego poprzedniego miejsca pracy.

Wśród nich znajdziemy kilka wypowiedzi, które stawiają Allegro w dość nieciekawym świetle. Dowiedzieć możemy się na przykład, że nawet tak właściwie szeregowy pracownik jak osoba zajmująca się obsługą klienta ma dostęp do naszych danych.

Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne :(

Allegro jest miejscem, w którym z konieczności podajemy wszystkie bardzo istotne dane: osobowe, numer telefonu, adres. Czy 1200 osób zatrudnionych w serwisie powinno móc "wrzucić w szukajkę" nasze dane i precyzyjnie nas zlokalizować w Sieci?

Przeczytaj także: Hasła Allegro - to błąd, ale nie zbrodnia

To jednak nie wszystko. Były pracownik serwisu dodaje, że hasła użytkowników największego serwisu aukcyjnego w Polsce przechowywane są w formie plain text. Co to znaczy? Że nie są szyfrowane.

AMA Allegro

Jak zauważa Niebezpiecznik.pl

Przypomnijmy, że zazwyczaj Allegro tłumaczy, że brak szyfrowania/hashowania haseł umożliwa im "wykrywanie fałszywych kont? - biznesowo jest to jakieś uzasadnienie, ale czy na pewno nie ma lepszych sposobów na wykrywanie multikont? I co z internautami, którzy tworzą multikonta z różnymi hasłami?

To jednak nie wszystko. Główny bohater wczorajszego AMA twierdzi, że do haseł użytkowników Allegro dostęp ma każdy pracownik serwisu.

AMA z rzekomym byłym pracownikiem Allegro

AMA z rzekomym byłym pracownikiem Allegro

Jak wynika z przytoczonej powyżej wypowiedzi, nie każdy pracownik Allegro ma taki sam dostęp do danych użytkowników, ale każdy widzi nasze hasła.  Jak zauważa nasz specjalistads. bezpieczeństwa, Janusz Urbanowicz,

pracownicy portalu nie powinni mieć dostępu do samej treści haseł, to niepotrzebne ryzyko. Wystarczy, że mają (opisaną przez tajemniczego wykopowicza) możliwość sprawdzenia kto jeszcze ma takie samo hasło. Ryzyko zaś wynika z tego, że prawdopodobnie spory odsetek użytkowników używa tego samego hasła do logowania do Allegro i na konto pocztowe czy do portalu społecznościowego. Przez to na moderatora mającego dostęp do danych użytkownika (adresu e-mail i prawdopodobnego hasła) czyha wielka, zupełnie niepotrzebna pokusa.

Co na takie rewelacje samo Allegro?

Stanowczo dementuje wszystkie informacje, które pojawiły się na Wykopie. Jak powiedziała nam rzeczniczka serwisu,

Hasła użytkowników platformy transakcyjnej Allegro są przechowywane w postaci niejawnej, realizowanej przy użyciu nieodwracalnych mechanizmów kryptograficznych spełniających najbardziej rygorystyczne wymogi bezpieczeństwa obowiązujące na świecie.

Serwis zaprzecza też doniesieniom, jakoby wszyscy pracownicy Allegro mieli dostęp do naszych haseł

Nie jest prawdą opinia że pracownicy Allegro mają możliwość swobodnego odczytywania i porównywania haseł użytkowników. Hasła dostępu do kont użytkowników były i są zaszyfrowanie, a zatem niewidoczne zarówno dla pracowników i administratorów serwisu, jak i użytkowników. Informacje przekazywane przez osobę anonimową i krążące po Internecie są zatem bezpodstawne, nie mają potwierdzenie w stanie faktycznym.

Twierdza Allegro

 

Nie wiadomo, czy osoba podająca się za byłego pracownika Allegro faktycznie pracowała w serwisie. Z jej wypowiedzi wynika, że raczej tak, ale nie sposób stwierdzić, jaką wartość mają podawane przez nią informacje. Czy udział w AMA miał na celu wylanie żółci po zwolnieniu, czy ktoś po prostu uznał, że warto podzielić się swoją wiedzą.

Allegro zdecydowanie odcina się od większości stwierdzeń z Wykopu. Wiadomo, że serwis miewał problemy z zabezpieczeniami, ale z drugiej strony - kto ich nie ma? Najciekawsze w ostatnim AMA jest to, że po raz pierwszy osoba związana z Allegro opowiedziała, jak wygląda korporacja od środka. Jeśli opowieści są prawdziwe, trzeba pogratulować odwagi. Rzeczniczka serwisu zauważa, że jeśli faktycznie w AMA brał udział były pracownik firmy, to "jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa".

Kto ma rację? Nie wiemy. dopóki Allegro nie zaprosi nas do swojej siedziby i nie pokaże swojego systemu zabezpieczeń, mamy słowo przeciwko słowu.

Więcej o:
Komentarze (84)
Zakopał Allegro na Wykopie - oszustwo czy wielka odwaga?
Zaloguj się
  • Gość: gościu

    Oceniono 8 razy 8

    Mój dobry kumpel pracuje w allegro i mówił, że ten wyciek wywołał spore zamieszanie w korporacji. Potwierdził również, że dostęp do haseł użytkowników ma każdy pracownik.

  • wujeksknerus

    Oceniono 10 razy 10

    Powazna firma nie powinna bac sie audytu :)

  • Gość: nick

    Oceniono 7 razy 7

    hahaha, hasla szyfrowane, moze ostatnio, bo przez kilka lat byly dostepne dla wszystkich!

  • wredny_komentator

    Oceniono 9 razy 7

    Rzecznik allegro może sobie zaprzeczać ale co do tego, że hasła są trzymane w postaci czystego tekstu chyba nikt nie ma wątpliwości. Coś koło rok temu luka w API allegro pozwalała odczytać praktycznie dowolne hasła i jakoś nie było widać tych "nieodwracalnych mechanizmów". Podobnie 2 lata temu, gdy Allegro rozesłało mailing z informacją, że przy logowaniu będzie już sprawdzana wielkość liter w haśle - przy bezpiecznym przechowywaniu hasła, zmiana wielkości jednej literki daje zupełnie inny skrót więc Allegro , by dało się tak "wygodnie" logować na bank trzymało hasła w postaci czystego tekstu. Naprawdę nie widzę powodu by to się miało nagle zmienić.
    Co do pozostałych rewelacji przekazanych przez byłego "pracownika" nie wnikam w ich prawdziwość. Za to każdy widzi, że Allegro bardzo ceni sobie swoje prowizje i nie robi porządku z oszustami. Dla przykładu nadal można kupić 128GB ( i większe ) pendrivy za 50 -200 zł, które są w 100%, bez żadnych wyjątków podróbkami i nigdy nie miały deklarowanej pojemności.

  • Gość: Pyza

    Oceniono 6 razy 6

    Gościu mówi prawdę. Allegro nie szyfruje haseł i ma do nich dostęp każdy pracownik z uprawnieniami admina (czyli w praktyce każdy).

  • vexo

    Oceniono 6 razy 6

    Rewelacje na temat Allegro mogą wydawać się nieprawdopodobne, ale niekoniecznie są zmyślone. Jak wcześniej pisał wredny_komentator, pewien błąd Allegro WebAPI umożliwiał otrzymanie pełnych danych dowolnego konta. Najlepsze, że wśród tych danych było niezaszyfrowane hasło. Błąd został szybko usunięty, dane nie wyciekły zbytnio (bo dostęp do WebAPI był limitowany a i osoba, która błąd znalazła nie wykorzystywała go w złych celach a ogłosiła jako ciekawostkę), ale fakt pozostaje faktem, że hasła nie były szyfrowane. Czyli nic nie stoi na przeszkodzie, by były widocznie też na ekranach obsługi (zwłaszcza, że ich programy zapewne korzystały z tego wewnętrznego API, które błędnie udostępniono na zewnątrz).

    Nie wiem, czy osoba udzielająca wywiadu pracowała w Allegro czy nie. Nie wiem, czy hasła widzi tam każdy pracownik czy też nikt nie ma dostępu. Ale te informacje oraz wcześniejsze doniesienia nie stawiają Allegro w najlepszym świetle i wskazują, że jednak z ich bezpieczeństwem nie jest najlepiej. Ja osobiście nie wierzę w zapewnienia rzecznika.

  • ahk4iepaiv8u

    Oceniono 5 razy 5

    wiedzieć, to nie wiemy. Ale prawdopodobieństwo że tak jest oceniam jako większe, niż prawdopodobieństwo że to anonimowy kłamiący troll który chce zaszkodzić firmie.

    www.wykop.pl/link/649351/dane-900-uzytkownikow-allegro-kraza-po-sieci/
    nieruchomyporuszyciel.blogspot.com/2011/10/historyjka-allegro.html

  • marxcin

    Oceniono 5 razy 5

    Jeżeli to Prawda to allegro nigdy nie wejdzie w spór prawny z kolesiem, choćby od wczoraj mieli wszystko na full zabezpieczone. Pomijam fakt, że powyższy tekst tylko potwierdził że moje podejście z deficytem zaufania do wszystkiego w necie jest zasadna.

  • tirinti

    Oceniono 5 razy 5

    Niestety taki numery się często zdarzają w wielu polskich firmach. Często jest tak, że firma pisząca soft z hashami haseł a później klint zgłasza to jako błąd, bo ich admin nie może zmieniać haseł jak ktoś zapomni. Niestety większość klientó to debile podobnie jak ich użytkownicy. Zwykły człowiek oczekuje, że jak zapomni hasła to zadzwoni na helpdesk i miły pan mu powie jego zapomniane hasło.

Aby ocenić zaloguj się lub zarejestrujX