Allegro znowu dało ciała
Poważny błąd w Allegro umożliwiał poznanie haseł użytkowników. Może teraz w zakładce kupione zobaczę jakieś domy, jachty, samochody?
Poważny błąd w Allegro umożliwiał poznanie haseł użytkowników. Może teraz w zakładce kupione zobaczę jakieś domy, jachty, samochody?
+24
pokaż komentarz
Dokładnie to przewidywałem kiedy dostałem maila z allegro o treści:
W trosce o bezpieczeństwo Twojego konta, przeprowadzamy akcję zmiany haseł dostępu do Allegro.
Jakże oni o mnie dbają i o moje bezpieczeństwo ;)
+2
pokaż komentarz
@XpedobearX: ja tak samo ,od razu myszkie w górę i niebezpiecznik.pl
+5
pokaż komentarz
@XpedobearX: gdyby rzeczywiście tak dbali to nawet by nie było jakiejkolwiek mowy o plaintekście :/
0
pokaż komentarz
@XpedobearX: to tak jak ja, ja przeczytałem mailowy bełkot zacząłem szukać jaki jest prawdziwy powód. Akcja zamiatamy problem pod dywan. Napisali, że będę poproszony o zmianę hasła przy logowaniu a nie zostałem.
+2
pokaż komentarz
@XpedobearX: ja takiego maila nie dostałem :( O mnie nie dbają :(
-1
pokaż komentarz
coraz bardziej zaczynam się cieszyć z pomysłu o braku rejestracji...
0
pokaż komentarz
@robert83: Ja zostałem poproszony o zmianę hasła przy logowaniu, ale i tak taka sytuacja nie miała prawa mieć miejsca na tak popularnym portalu. Allegro jest naczęściej używanym portalem aukcyjnym w Polsce więc na to co się wydarzyło nie ma usprawiedliwienia.
+4
pokaż komentarz
Przyszło mi właśnie coś na e-maila, że dbają o bezpieczeństwo użytkowników i przy następnym logowaniu poproszą o zmianie hasła. Pierwsza myśl, jakiś phishing, ale nic żadnych odnośników, wszystko się zgadza... Druga myśl, znowu pewnie jakieś dane wyciekły. Trzecia myśl na wykopie może coś będzie na ten temat no i jest.
+3
pokaż komentarz
@Pokywww: Pierwsza myśl, jakiś phishing, ale nic żadnych odnośników, wszystko się zgadza...
Jak podejrzewasz phishing na stronie z ssl, sprawdź dane z certyfikatu X509.
+10
pokaż komentarz
@mathix:
Acha...
+3
pokaż komentarz
czy trzymanie haseł w firefoxie jest bezpieczne? chyba da się je jakoś wyciągnąć z plików? (nie licząc tego że można je wyświetlić w FF)
+6
pokaż komentarz
@jaozyrys: są trojany typu pass-stealer które żywią się hasłami z przeglądarek
+2
pokaż komentarz
@jaozyrys: "czy trzymanie haseł w firefoxie jest bezpieczne?"
Najbezpieczniej trzymać je w głowie. Zapisane hasło jest tak bezpieczne jak miejsce, w którym je zapisano.
W przypadku FX jest tak bezpieczne jak reszta twoich plików. W IE 8 jest odrobinę lepiej bo hasła są szyfrowane, zdaje się, domeną więc złodziej będzie musiał pytać o hasła do konkretnych serwisów (na pewno zapyta o hasła do popularnych serwisów np. twarzoksiążki.)
Możesz też założyć hasło na bank haseł - wtedy reszta haseł będzie równie bezpieczna jak hasło główne.
Bezpieczeństwo i wygoda są wobec siebie przeciwstawne.
+6
pokaż komentarz
Pamietacie jak sie szukalo w Kazzie pliku hasla GG bo nie raz wszyscy udostepniali caly dysk :)
0
pokaż komentarz
@qJokerp: lub kontakty.txt Miałem takich czterdzieści .Zresztą na amule pewnie do dzisiaj można znaleźć.
Dzięki temu rozpoznawałem dobrego klienta gadu jeśli się nie wysypywał pod ilością 1000 kontaktów.
0
pokaż komentarz
@jaozyrys: Nie jest bezpieczne, dlatego polecam plugin LastPass :)
-2
pokaż komentarz
Ale w plaintekście!? Mamy XXI wiek do diaska! Nawet Gadu-Gadu jest bardziej zaawansowane (a może się mylę?)
-2
pokaż komentarz
@karmazynowymsciciel: Przeczytaj sobie w komentarzu na niebezpieczniku o gadu-gadu.
+20
pokaż komentarz
@karmazynowymsciciel: gg też trzyma hasła w czystym tekscie
-2
pokaż komentarz
@karmazynowymsciciel: Jesteś w błędzie, szyfrowanie w GG to fikcja (działa tylko jak obie strony, mają oryginalnego klienta w najnowszej wersji i to przy odrobinie szczęścia), wszystko idzie w plantekscie.
+3
pokaż komentarz
@zasadyikompetencja: A czy ktoś tu napisał, że jest inaczej?
-2
pokaż komentarz
@karmazynowymsciciel: kup teraz też się tyczy?
+1
pokaż komentarz
Komentarz usunięty przez moderatora
0
pokaż komentarz
Komentarz usunięty przez moderatora
0
pokaż komentarz
@amz: SSL działa, tylko jak obie strony, mają oryginalnego klienta w najnowszej wersji. Nawet jak będą spełnione te warunki, to często nie działa.
+21
pokaż komentarz
Najlepsze, że w odpowiedzi allegro straszy wszystkich, żeby dobrze zabezpieczyli pobrane w "nielegalny" sposób dane i trwale je usunęli, jednocześnie strasząc więzieniem. A po mojemu, to dane zostały pobrane w legalny sposób (nic nie trzeba było łamać, były dostępne publicznie dla każdego kto korzystał z webapi), a do więzienia sami powinni zostać zamknięci za NIESZYFROWANIE oraz NIEZABEZPIECZANIE danych swoich użytkowników. Ja się dziwie, dlaczego GIODO się tą sprawą nie zajmie. Jak można przechowywać hasła milionów osób w plantexie. Tym powinna zająć się prokuratura moim zdaniem. Jakby takie coś się zdarzyło za granicą, afera pewnie zniszczyła by taką firmę. W Polsce jak zwykle to mogę pójść o zakład, że będą ścigali jeszcze tego użytkownika, który tą lukę zauważył i pewnie oskarżą go, bo jest hakierem, który naraził straty allegro na pierdziylion milinów. W gazetach będą zdjęcia, jak to o 6.00 rano, banda dzielnych komandosów zakuwa w kajdanki największego hakera w Polsce, który wykradł hasła z allegro. A samo allegro będzie zbierało pochwały, jak to dzielnie walczy o bezpieczeństwo swoich użytkowników.
Po prostu wkurza mnie, że tak ogromne firmy nie są w ogóle kontrolowane, czy spełniają podstawowe wymogi bezpieczeństwa. Jest to dla mnie rzecz absurdalna. Za taki numer, allegro powinno dostać taką karę, że prędko by się nie pozbierało...
-6
pokaż komentarz
@damianoos: ale po co taka tania sensacja i gdybanie? Ktoś zauważył błąd, zgłosił do Allegro, oni błąd naprawili. Gdzie tu widzisz ściganie tej jednej osoby, której jak można wyczytać z komunikatu wszystkie dane Allegro posiada, bo dostęp do Web-Api jest ograniczony. Wątpię też, żeby GIODO nie wiedziało, w jaki sposób dane są przechowywane, widać akceptuje to uwzględniając zabezpieczenia serwisu. Ewidentnie jakiś człowiek dał dupy i powinien wylecieć z pracy. I tyle.
+1
pokaż komentarz
@maakumba: komunikat straszy, że kto posiadł te dane i ich nie zabezpieczył, naraża się na karę. W Polsce już nie takie rzeczy się działy (było na wykopie o kolesiu, który w podobny sposób uzyskał niezabezpieczone dane z jakiejś tam firmy telekomunikacyjnej i w sadzie dostał w dupę...)
Jakie ryzyko niesie nie szyfrowanie haseł napisałem w tym komentarzu http://www.wykop.pl/link/535589/allegro-znowu-dalo-ciala/#comment-3466197
Co do GIODO, to załatwiałem kiedyś klientowi wniosek z tej instytucji, dla jego serwisu randkowego i jeden z wytycznych punktów jasno mówił, że hasła MUSZĄ być szyfrowane. Co prawda taka wytyczna istnieje, ale GIODO tego w ogóle nie sprawdza. W moim przypadku było to samo, wniosek został pozytywnie rozpatrzony, mimo że GIODO w ogóle nie sprawdziło czy tak jest. Podejrzewam, że z allegro było podobnie.
0
pokaż komentarz
@damianoos: Jeśli GIODO nie przestrzega własnych wytycznych, to już naprawdę jest żenująca sytuacja. To już chyba tylko prokuratura powinna zbadać tę sprawę. Chyba, że GIODO podpada także pod NIK.
Ale uważasz, że jeśli trafi w moje ręce baza danych osobowych, to mogę z nią zrobić, co zechcę, bo stało się to przypadkowo? Mogę upublicznić, sprzedać? No chyba jednak nie, tak ja ten komunikat rozumiem.
0
pokaż komentarz
@maakumba: nie możesz z nią zrobić co zechcesz (np. upublicznić, czy sprzedać). Ale możesz ją sobie zostawić na dysku, w takiej formie jakiej je pozyskałeś (bo niby czemu nie?). Według allegro w ten sposób narażasz się na dwa lata więzienia, bo nie zabezpieczyłeś, ani trwale ich nie usunąłeś. Pytanie tylko, czym przechowywanie tych danych na Twoim dysku, różni się od przechowywania tych danych na ich serwerach? Te dane i tu i tam nie są należycie zabezpieczone. Allegro więc, oskarża samo siebie, że niezbyt dobrze zabezpiecza dane. I o tym cały czas pisze.
0
pokaż komentarz
@damianoos: "nie szyfrowanie"
Uściślijmy, nie o zaszyfrowanie się rozchodzi tylko o ich całkowite usunięcie (do zaszyfrowanych pracownicy też mogą mieć wgląd.)
Wystarczy hasła zastąpić ich posolonymi skrótami - można to zrobić w sposób niezauważalny dla klientów.
0
pokaż komentarz
@damianoos: czym przechowywanie tych danych na Twoim dysku, różni się od przechowywania tych danych na ich serwerach? Moim zdaniem tym, że osoby rejestrujące konto na Allegro przekazały swoje dane osobowe tej właśnie firmie, a nie osobie X, która je sobie wyciągnęła. Ona nie jest uprawniona do ich posiadania.
0
pokaż komentarz
@maakumba: jednocześnie przekazując te dane firmie, przekazała je tak jakby wszystkim, bo ta firma nie potrafi zadbać o te dane. W kwestii formalnej, to masz rację, natomiast w kwestii bezpieczeństwa, to posiadanie konta na allegro jest równoznaczne z podaniem swojego hasła na wstępie kilkunastu osobom (pracownicy allegro), a w awaryjnych przypadkach i całej Polsce.