News

Niebezpieczne korzystanie z Allegro?

Zakupy robione za pomocą tego serwisu są dzisiaj dla nas tak oczywiste jak oddychanie. Być może to właśnie z tego względu przestajemy być czujni – dotychczas przecież nic groźnego czy niebezpiecznego nie dotyczyło serwisu, więc bezpieczeństwo pewnie jest na wysokim poziomie i nie ma się czego bać. Prawda najczęściej jest taka, że nie zdajemy sobie sprawy z części ataków, jakie są przypuszczane na tak duże serwisy. Tym razem jednak zagrożenie było doskonale widzialne.

Połączenie nieszyfrowane

Problemem z Allegro, jaki pojawił się w ostatnich dniach, było nieszyfrowane połączenie – czyli zamiast https można było znaleźć jedynie http. Niezabezpieczone połączenie, o którym informacja pojawia się zresztą w pasku przeglądarki, jest niebezpieczne ze względu na narażenie na działanie z ukrycia Man in the Middle. W efekcie, jeśli zajdą sprzyjające okoliczności, możecie pożegnać się z waszym kontem  – zostanie przejęte. Bardziej niepokojącym jest fakt, że problem z dziurawymi zabezpieczeniami serwerów serwisu obserwowane jest już od końca zeszłego roku, a kiedy feler zostanie naprawiony – tego nie wie nikt.

Nieszyfrowane aukcje

O ile strona główna serwisu pozostaje zabezpieczona i jest prawidłowo szyfrowana, to już wejście na jakąkolwiek aukcję powoduje automatyczne przeniesienie się na nieszyfrowany sposób komunikacji. Nie tylko to jest niezabezpieczone – trzeba uważać również na centrum zniżek oraz strona, za pomocą której wystawiane są przedmioty na aukcjach. Jeśli ktoś znajduje się na trasie komunikacji w niezabezpieczonym odpowiednio połączeniu, będzie w stanie podsłuchać transmisję, wykraść sesyjne ciasteczka, a to wystarczy, żeby przejąć konto dowolnego użytkownika, oczywiście absolutnie bez jego wiedzy o tym.

Kim może być atakujący?

Wystarczy, że będzie to osoba znajdująca się w tej samej sieci wi-fi lub podsieci, czy to przewodowej, czy bezprzewodowej i zadziała za pomocą ARP Spoofing. Może to być również osoba administrująca siecią firmową, która również będzie na przykład podczas obiadu przeglądać dla odprężenia aukcje na Allegro. W ten sposób każda osoba administrująca siecią ma dostęp do danych wrażliwych – numerów telefonów czy dokładnego adresu.

Co może dokonać atakujący?

Wiele i niewiele jednocześnie – to znaczy, że będzie w stanie wykonać każdą operację, która nie będzie wymagała podania hasła, ponieważ tego nie będzie w stanie wydobyć – jest szyfrowane za pomocą https. Może jednak podglądać dane osobowe, może również sprawdzić, co dany użytkownik kupić w historii kupionych przedmiotów, może wystawiać również aukcje na nie swoich kontach, narażając innych na koszty.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *