Blog (12)
Komentarze (233)
Recenzje (0)
@ArdziejAle że plaintext ?

Ale że plaintext ?

09.12.2011 18:13, aktualizacja: 09.12.2011 22:10

Ostatnio coraz więcej się mówi o tym jak stworzyć bezpieczne hasło oraz to gdzie nie należy chować naszych karteczek z zapisanym hasłem ;‑)

Wszystko fajnie do momentu kiedy to użytkownik myśli, iż jest bezpieczny. Hasło skomplikowane i pamięta je mój mózg - lekcja odrobiona. Ale to wszystko na nic kiedy usługi, z których korzystamy nie przywiązują większego znaczenia to bezpieczeństwa naszych danych.

400232

Jakie wielkie zdziwienie(ba, w sumie po przygodach z Sony to nie powinno mnie już zdziwić) mnie dopadło, kiedy "wykopałem" konwersacje pomiędzy byłym pracownikiem allegro a innym użytkownikami strony Wykop.pl

Miliony kont, monopol na maksa, "społecznie odpowiedzialna marka", ale czy aby na pewno ?

@argothiel: Bardzo różne. Najzabawniejsze jest to, że np. jeśli jakiś User ma hasło przykładowo 'myszka1' to obok jest taka cyferka w nawiasie np. (23). Po kliknięciu w tę cyfrę pojawiają się wszystkie konta z takim samym hasłem. Swoją drogą powinni zrobić spreparowany link, jeśli chcą by Admini logowali się na konto w celu pomocy np. Oczywiście hasła adminów są tajne i ich nie widać ;) Równi i równiejsi? ;)

Aha, czyli moje hasło, które powierzyłem "marce społecznie odpowiedzialnej", jest zapisane w bazie jako zwykły tekst?! A na dodatek złego, administracja urządza sobie rankingi ?

@Macunaima: Historia nr 2, moja: Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne :( :D

Upsss. Rok temu miejsce miała podobna wpadka, która umożliwiała poprzez webAPI wgląd w hasła zapisane w jawnym tekście.

Co na to allegro ?

Hasła są zabezpieczone i zaszyfrowane, nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników allegro. Tu mieliśmy do czynienia niestety nie tylko z błędem, ale także zbiegiem okoliczności, dzięki któremu był możliwy dostęp, do tych wyjątkowych obszarów.

Ufff. Hasła są zarówno "zabezpieczone jak i zaszyfrowane", ale nie wszędzie. Inne tłumaczenia allegro kieruje dobrem użytkowników i walką z fałszywymi kontami(jakby to hashowanych haseł nie było można porównać...). O zgrozooo, pomieszane wszystko z wszystkim. Otóż pewne jest nie zależnie od tego w jaki sposób hasła są przetrzymywane w bazie, allegro się nie przyzna do winy.

Zatem nasuwa się pytanie: Zemsta pracownika, który wyjawił całą prawdę czy może zwykła ściema? Tak czy inaczej, szerokie grono z tą informacją nie będzie miało do czynienia, wiadomo monopol robi swoje...

PS. Może są tu jacyś "anonimowi", którzy chętnie sprawdzą bazę allegro :)

Wybrane dla Ciebie
Komentarze (14)