Zakopał Allegro na Wykopie - oszustwo czy wielka odwaga?

"Każdy pracownik Allegro widzi hasła użytkowników", a zabezpieczenia serwisu nie są najwyższej jakości - między innymi takich nowinek mogliśmy dowiedzieć się od osoby podającej się na Wykopie za byłego pracownika Allegro.
Zakopał Allegro na Wykopie? Osoba podająca się za byłego pracownika serwisu aukcyjnego zdradza szokującego fakty na jego temat Na Wykopie już od jakiegoś czasu pojawia się cykl AMA - Ask Me Anything, czyli pytaj o wszystko. Jak powiedział nam Michał Białek, dyrektor operacyjny Wykopu: - W serwisie są dwa rodzaje AMA. Pierwsze to takie, które może założyć każdy, drugi rodzaj to AMA, które są pod naszym patronatem. Kim jest główny bohater AMA z Allegro? Każdy wątek z cyklu Ask Me Anything rozpoczyna krótki wstęp, w którym główny bohater odcinka przedstawia się w kilku słowach. Nie inaczej jest w tym przypadku: "Były pracownik znanego polskiego portalu aukcyjnego. Długo się nad tym zastanawiałem, ale podjąłem decyzję. Pytajcie o co chcecie". Wyżej wymieniona osoba szeroko i bez skrępowania odpowiadała na najbardziej nawet kłopotliwe pytania dotyczące jego poprzedniego miejsca pracy. Wśród nich znajdziemy kilka wypowiedzi, które stawiają Allegro w dość nieciekawym świetle. Dowiedzieć możemy się na przykład, że nawet szeregowy pracownik jak osoba zajmująca się obsługą klienta ma dostęp do naszych danych. "Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne" - pisze. Allegro jest miejscem, w którym z konieczności podajemy wszystkie bardzo istotne dane: osobowe, numer telefonu, adres. Czy 1200 osób zatrudnionych w serwisie powinno móc "wrzucić w szukajkę" nasze dane i precyzyjnie nas zlokalizować w sieci? To jednak nie wszystko. Były pracownik serwisu dodaje, że hasła użytkowników największego serwisu aukcyjnego w Polsce przechowywane są w formie plain text. Co to znaczy? Że nie są szyfrowane. Co na takie rewelacje samo Allegro? Stanowczo dementuje wszystkie informacje, które pojawiły się na Wykopie. Jak powiedziała nam rzeczniczka serwisu: - Hasła użytkowników platformy transakcyjnej Allegro są przechowywane w postaci niejawnej, realizowanej przy użyciu nieodwracalnych mechanizmów kryptograficznych spełniających najbardziej rygorystyczne wymogi bezpieczeństwa obowiązujące na świecie. Serwis zaprzecza też doniesieniom, jakoby wszyscy pracownicy Allegro mieli dostęp do naszych haseł: Nie jest prawdą opinia, że pracownicy Allegro mają możliwość swobodnego odczytywania i porównywania haseł użytkowników. Hasła dostępu do kont użytkowników były i są zaszyfrowanie, a zatem niewidoczne zarówno dla pracowników i administratorów serwisu, jak i użytkowników. Informacje przekazywane przez osobę anonimową i krążące po Internecie są zatem bezpodstawne, nie mają potwierdzenie w stanie faktycznym. Nie wiadomo, czy osoba podająca się za byłego pracownika Allegro faktycznie pracowała w serwisie. Z jej wypowiedzi wynika, że raczej tak, ale nie sposób stwierdzić, jaką wartość mają podawane przez nią informacje. Możliwe, że udział w AMA miał na celu wylanie żółci po zwolnieniu. Rzeczniczka serwisu zauważa, że jeśli faktycznie w AMA brał udział były pracownik firmy, to "jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa". Kto ma rację? Nie wiemy.

Pytaj o wszystko. Naprawdę o wszystko

 

Na Wykopie już od jakiegoś czasu pojawia się cykl AMA - Ask Me Anything, czyli pytaj o wszystko. W jego ramach pojawili się już żołnierz Batalionu Reprezentacyjnego Wojska Polskiegozawodowy kosmolog, członek Mensy czy wychowawca z domu dziecka. Formuła jest prosta - Wykopowicze zadają pytania, a główny bohater danego odcinka stara się na nie odpowiedzieć i przybliżyć swoją profesję. Nie o sam zawód jednak chodzi. Społeczność Wykopu faktycznie pyta "o wszystko", także o kwestie najbardziej kłopotliwe. Tak więc pracownik domu dziecka pytany jest między innymi o seks i przemoc w placówkach wychowawczych, albo o to, ilu wychowanków trafia na studia wyższe, a kosmolog o koncepcję elektrycznego Wszechświata. Jak widać, AMA to bardzo ciekawa formuła.

Jest jednak pewien haczyk - jak powiedział nam Michał Białek, dyrektor operacyjny Wykopu

W serwisie są dwa rodzaje AMA. Pierwsze to takie, które może założyć każdy, drugi rodzaj to AMA, które są pod naszym patronatem.

Do tej pory Wykop patronował na przykład AMA ze Smoleniem i jego fundacją. Ask Me Anything z byłym pracownikiem Allegro (lub przynajmniej osobą, która się za taką podaje) nie było objęte patronatem Wykopu. Okazuje się bowiem, że wątek może założyć każdy, ale to od społeczności i atrakcyjności zawodu proponowanego w AMA zależy, czy trafi na stronę główną Wykopu.

Kim jest główny bohater AMA z Allegro?

 

Każdy wątek z cyklu Ask Me Anything rozpoczyna krótki wstęp, w którym główny bohater odcinka przedstawia się w kilku słowach. Nie inaczej jest w tym przypadku

Były pracownik znanego polskiego portalu aukcyjnego. Długo się nad tym zastanawiałem, ale podjąłem decyzję. Pytajcie o co chcecie.

Pracownik pozostaje anonimowy, ale zdradza o sobie sporo informacji.

Fot. Wykop

Znamy więc dział w którym pracował, jak również okoliczności które doprowadziły do tego, że Allegro jest już jego byłym pracodawcą.

Fot. Wykop

Jak wspomnieliśmy już wyżej, w AMA może wziąć udział każdy. Michał Białek zaznacza, że

AMA może dodać każda osoba, która uważa, że ma do zaoferowania ciekawy know-how i tak było w tym przypadku.

Nie ma procesu weryfikacji osób biorących udział w AMA. Nie wiemy więc ze 100% pewnością, czy osoba podająca się za byłego pracownika Allegro faktycznie była zatrudniona w największym polskim serwisie aukcyjnym. Jeśli jednak przyjrzymy się uważnie jego wypowiedziom zauważymy, że coś musi być na rzeczy.

Wszystko, co chcecie wiedzieć o Allegro

 

Allegro to słowo-klucz, więc we wczorajszym AMA znalazło się ponad 400 komentarzy. Były pracownik Allegro szeroko i bez skrępowania odpowiadał na najbardziej nawet kłopotliwe  pytania dotyczące jego poprzedniego miejsca pracy.

Wśród nich znajdziemy kilka wypowiedzi, które stawiają Allegro w dość nieciekawym świetle. Dowiedzieć możemy się na przykład, że nawet tak właściwie szeregowy pracownik jak osoba zajmująca się obsługą klienta ma dostęp do naszych danych.

Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne :(

Allegro jest miejscem, w którym z konieczności podajemy wszystkie bardzo istotne dane: osobowe, numer telefonu, adres. Czy 1200 osób zatrudnionych w serwisie powinno móc "wrzucić w szukajkę" nasze dane i precyzyjnie nas zlokalizować w Sieci?

Przeczytaj także: Hasła Allegro - to błąd, ale nie zbrodnia

To jednak nie wszystko. Były pracownik serwisu dodaje, że hasła użytkowników największego serwisu aukcyjnego w Polsce przechowywane są w formie plain text. Co to znaczy? Że nie są szyfrowane.

AMA Allegro

Jak zauważa Niebezpiecznik.pl

Przypomnijmy, że zazwyczaj Allegro tłumaczy, że brak szyfrowania/hashowania haseł umożliwa im "wykrywanie fałszywych kont" - biznesowo jest to jakieś uzasadnienie, ale czy na pewno nie ma lepszych sposobów na wykrywanie multikont? I co z internautami, którzy tworzą multikonta z różnymi hasłami?

To jednak nie wszystko. Główny bohater wczorajszego AMA twierdzi, że do haseł użytkowników Allegro dostęp ma każdy pracownik serwisu.

AMA z rzekomym byłym pracownikiem Allegro

AMA z rzekomym byłym pracownikiem Allegro

Jak wynika z przytoczonej powyżej wypowiedzi, nie każdy pracownik Allegro ma taki sam dostęp do danych użytkowników, ale każdy widzi nasze hasła.  Jak zauważa nasz specjalistads. bezpieczeństwa, Janusz Urbanowicz,

pracownicy portalu nie powinni mieć dostępu do samej treści haseł, to niepotrzebne ryzyko. Wystarczy, że mają (opisaną przez tajemniczego wykopowicza) możliwość sprawdzenia kto jeszcze ma takie samo hasło. Ryzyko zaś wynika z tego, że prawdopodobnie spory odsetek użytkowników używa tego samego hasła do logowania do Allegro i na konto pocztowe czy do portalu społecznościowego. Przez to na moderatora mającego dostęp do danych użytkownika (adresu e-mail i prawdopodobnego hasła) czyha wielka, zupełnie niepotrzebna pokusa.

Co na takie rewelacje samo Allegro?

Stanowczo dementuje wszystkie informacje, które pojawiły się na Wykopie. Jak powiedziała nam rzeczniczka serwisu,

Hasła użytkowników platformy transakcyjnej Allegro są przechowywane w postaci niejawnej, realizowanej przy użyciu nieodwracalnych mechanizmów kryptograficznych spełniających najbardziej rygorystyczne wymogi bezpieczeństwa obowiązujące na świecie.

Serwis zaprzecza też doniesieniom, jakoby wszyscy pracownicy Allegro mieli dostęp do naszych haseł

Nie jest prawdą opinia że pracownicy Allegro mają możliwość swobodnego odczytywania i porównywania haseł użytkowników. Hasła dostępu do kont użytkowników były i są zaszyfrowanie, a zatem niewidoczne zarówno dla pracowników i administratorów serwisu, jak i użytkowników. Informacje przekazywane przez osobę anonimową i krążące po Internecie są zatem bezpodstawne, nie mają potwierdzenie w stanie faktycznym.

Twierdza Allegro

 

Nie wiadomo, czy osoba podająca się za byłego pracownika Allegro faktycznie pracowała w serwisie. Z jej wypowiedzi wynika, że raczej tak, ale nie sposób stwierdzić, jaką wartość mają podawane przez nią informacje. Czy udział w AMA miał na celu wylanie żółci po zwolnieniu, czy ktoś po prostu uznał, że warto podzielić się swoją wiedzą.

Allegro zdecydowanie odcina się od większości stwierdzeń z Wykopu. Wiadomo, że serwis miewał problemy z zabezpieczeniami, ale z drugiej strony - kto ich nie ma? Najciekawsze w ostatnim AMA jest to, że po raz pierwszy osoba związana z Allegro opowiedziała, jak wygląda korporacja od środka. Jeśli opowieści są prawdziwe, trzeba pogratulować odwagi. Rzeczniczka serwisu zauważa, że jeśli faktycznie w AMA brał udział były pracownik firmy, to "jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa".

Kto ma rację? Nie wiemy. dopóki Allegro nie zaprosi nas do swojej siedziby i nie pokaże swojego systemu zabezpieczeń, mamy słowo przeciwko słowu.