Uważaj na Allegro: źle skonfigurowane serwery pozwalają wykraść twoje dane

Aktualizacja z 2 marca 2018 r. Otrzymaliśmy oficjalny komunikat Allegro w poniżej opisanej sprawie. Jednocześnie strona z danymi użytkownika zaczęła być serwowana po HTTPS. Wciąż jednak strony produktowe i operacja wystawiania nowego przedmiotu idą po HTTP. Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta. Osoby, które miałyby wątpliwości lub pytania dotyczące ich konta w naszym serwisie, prosimy o kontakt z działem obsługi klienta. Informacje dodatkowe Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej. Obecnie Allegro jest w trakcie przechodzenia na szyfrowany protokół HTTPS. Proces ten zakończy się w najbliższym czasie.

Jeden z czytelników bloga Niebezpiecznik odkrył kilka dni temuzaskakujący błąd w konfiguracji serwerów Allegro. Największypolski serwis e-commerce normalnie dostępny jest po szyfrowanympołączeniu HTTPS, ale strony aukcji, strony wystawiania przedmiotuoraz centrum zniżek serwowane są po nieszyfrowanym połączeniuHTTP – i to wszystko w obrębie tej samej sesji. Oznacza to, żekażdy, kto znajduje się pomiędzy przeglądarką a serwerem Allegrojest w stanie przejąć ciasteczka sesji użyte przez Allegro,pozwalając na pozyskanie wrażliwych danych ofiary.

Wystarczy znaleźć się w tej samej otwartej sieci Wi-Fi lubsieci stosującej przestarzały protokół WEP, albo też w siecilokalnej (zarówno przewodowej lub bezprzewodowej), po przejęciupakietów ruchu sieciowego przeznaczone dla ofiary. Ba, jeśli ktośjest administratorem w takiej sieci, to wystarczy że będzienasłuchiwał np. na routerze ruch sieciowy, wypatrując ciasteczeksesji.

Jak wiadomo, serwisy internetowe używają takich ciastek jakomechanizmu śledzenia sesji, by potwierdzić że użytkownik jestwciąż zalogowany i ma prawo dostępu do chronionych zasobów. Jeśliciasteczko użyte do podtrzymania sesji zostanie wykradzione, tomożna je pokazać serwerowi, w ten sposób zapewniając go, że danasesja trwa nadal – i napastnik może wówczas dostać się wszędzietam, gdzie nie jest wymagane ponowne logowanie.

Od strony technicznej taki atak jest wręcz trywialny. Wystarczydysponować np. dystrybucją taką jak Kali Linux, zawierającąwszystkie niezbędne narzędzia do ofensywnych testówbezpieczeństwa. Znalezienie odpowiednich ciasteczek jest możliwe zapomocą kombinacji narzędzi takich jak ettercap (nasłuch siecilokalnej i atak ARP Spoofing pozwalający na przekierowanie pakietówIP), hamster (proxy nasłuchujące, pozwalające na przejęcienadchodzących ciasteczek sesji) oraz ferret (które wychwytujewszystkie ciasteczka sesji).

W ten sposób napastnik może dostać się do strony zawierającejdane osobowe ofiary, podejrzeć historię zakupów, a nawet jaksprawdził Niebezpiecznik, wystawić aukcję na Allegro jako ofiara,narażając ją na koszty i kłopoty. Możliwe też, że istniejąinne możliwości zaszkodzenia osobie, której ciasteczko sesjizostało przejęte.

Odkrywca błędu w konfiguracji serwerów zgłosił problem doAllegro już 17 lutego. Odpowiedź dostał szybko, ale rozwiązaniado dzisiaj nie ma, strony Allegro wciąż tu i ówdzie przechodzą naHTTP. Michał Bonarowski z Allegro wyjaśniał Niebezpiecznikowi, żenic wyjaśnić nie może, poza tym, że security sprawdza zprogramistami, czy przeniesienie ciasteczek zadziała. Z naszejstrony możemy jedynie powiedzieć, że nie ma co specjalniesprawdzać, wszyscy zainteresowani już sprawdzili. Tak, działa,ruch sieciowy w korporacyjnych sieciach jest całkiem ciekawy.

Wygląda na to, że problem wynika z jakiejś wewnętrznejmigracji serwerów w Allegro, która nie potoczyła się tak jakplanowano, nie zdążono ze wszystkim na czas, a serwisu przecieżwyłączyć nie można. Niektóre strony udostępniane są więc poHTTP, byleby coś było, nie bacząc na bezpieczeństwo.

Niestety żadne metody zabezpieczeń, na czele z dwuetapowymuwierzytelnianiem, nic tu nie pomogą, ponieważ atak następuje jużpo zalogowaniu ofiary. Należy założyć, że komunikacja zserwerami serwisu jest niebezpieczna i zainteresowani jej przejęciemjuż podejmują takie próby.

Należy więc zaprzestać korzystania z Allegro zarówno wsieciach publicznych jak i sieciach, nad którymi całkowicie niepanujemy (np. w pracy czy w szkole). W pewnym stopniu zabezpieczyćmoże VPN, ale trzeba pamiętać, że to tylko odepchnięcie problemudalej, ponieważ na serwerze wyjściowym dostawcy VPN-u też możesiedzieć ktoś nasłuchujący nasz ruch sieciowy.

Do momentu ukończenia „mocnych działań”, jak je określiłp. Bonarowski, nie sposób inaczej spojrzeć na sprawę. Dopiero gdyHTTPS wróci na całą platformę Allegro, będzie można ponowniezarekomendować zakupy w tym serwisie.

Dziękujemy kolegom z Niebezpiecznika za ostrzeżenieprzed tym poważnym zagrożeniem.