Aktualizacja
Serwis Allegro przesłał nam komentarz. Publikujemy go w całości.
Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro od lat wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które zabezpieczają dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta.
Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta."
Paweł Klimiuk
Dyrektor komunikacji korporacyjnej
Allegro
***
Użytkownik Allegro zauważył, że nie wszystkie strony w serwisie wykorzystują protokół HTTPS. Po zalogowaniu się na konto zabezpieczenie to jest aktywne - zielona kłódka i nazwa Allegro wyświetlają się tuż obok paska adresu. Gdy jednak przeglądamy oferty, to ikona z zieloną kłódką znika z paska. Oznacza to brak bezpiecznego połączenia.
Brak HTTPS w całym serwisie Allegro według ekspertów z Niebezpiecznika może stanowić zagrożenie Fot. Redakcja
Specjalizujący się cyberbezpieczeństwie serwis Niebezpiecznik twierdzi, że brak HTTPS w całym serwisie niesie ze sobą zagrożenie dla użytkowników. Istnieje bowiem możliwość przeprowadzenia ataku, za pomocą którego przejęte byłyby ciasteczka. Z nich natomiast można wydobyć informacje potrzebne do przejęcia konta.
Mamy gotową instrukcję krok po kroku, jak przejąć czyjeś ciasteczka (i w konsekwencji konto na Allegro)[...] Nie publikujemy jej teraz, aby nie ułatwiać roboty przestępcom., [...] Wierzymy jednak, że nawet bez naszych pomocy kompetentne osoby w dziale bezpieczeństwa Allegro, które znamy i za których wiedzę ręczymy, też wiedzą jak taki atak przeprowadzić i są świadome problemu.
- wyjaśnia serwis Niebezpiecznik.
Problem z bezpieczeństwem Allegro miał wystąpić niedawno. Eksperci podejrzewają, że serwis jest w trakcie jakiejś migracji, która z nieznanych powodów przeciąga się.
Allegro bada sprawę
Internauta, który odkrył problem z zabezpieczeniami zgłosił sprawę do Allegro. Dział bezpieczeństwa zapewnił go, że brak HTTPS w całym portalu nie jest zagrożeniem.
Szyfrowanie nie występuje na wszystkich podstronach Serwisu. Jest to prawidłowe działanie.
- odpisał jeden z pracowników działu bezpieczeństwa.
Czytaj też: Allegro zapowiada, że za łamanie tego zapisu regulaminu grożą poważne konsekwencje.
Michał Bonarowski z działu prasowego Allegro zapewnił Niebezpiecznik, że sprawdza, czy atak wykorzystujący przejęcie ciasteczek jest możliwy. Poprosiliśmy o komentarz i jednoznaczne potwierdzenie, czy korzystanie z serwisu jest całkowicie bezpieczne.
Tekst zostanie zaktualizowany gdy otrzymamy odpowiedź.
Niebezpiecznik rekomenduje, by do czasu załatania dziury nie korzystać z Allegro.
***
