News

Niebezpieczne korzystanie z Allegro?

Zakupy robione za pomocą tego serwisu są dzisiaj dla nas tak oczywiste jak oddychanie. Być może to właśnie z tego względu przestajemy być czujni – dotychczas przecież nic groźnego czy niebezpiecznego nie dotyczyło serwisu, więc bezpieczeństwo pewnie jest na wysokim poziomie i nie ma się czego bać. Prawda najczęściej jest taka, że nie zdajemy sobie sprawy z części ataków, jakie są przypuszczane na tak duże serwisy. Tym razem jednak zagrożenie było doskonale widzialne.

Połączenie nieszyfrowane

Problemem z Allegro, jaki pojawił się w ostatnich dniach, było nieszyfrowane połączenie – czyli zamiast https można było znaleźć jedynie http. Niezabezpieczone połączenie, o którym informacja pojawia się zresztą w pasku przeglądarki, jest niebezpieczne ze względu na narażenie na działanie z ukrycia Man in the Middle. W efekcie, jeśli zajdą sprzyjające okoliczności, możecie pożegnać się z waszym kontem  – zostanie przejęte. Bardziej niepokojącym jest fakt, że problem z dziurawymi zabezpieczeniami serwerów serwisu obserwowane jest już od końca zeszłego roku, a kiedy feler zostanie naprawiony – tego nie wie nikt.

Nieszyfrowane aukcje

O ile strona główna serwisu pozostaje zabezpieczona i jest prawidłowo szyfrowana, to już wejście na jakąkolwiek aukcję powoduje automatyczne przeniesienie się na nieszyfrowany sposób komunikacji. Nie tylko to jest niezabezpieczone – trzeba uważać również na centrum zniżek oraz strona, za pomocą której wystawiane są przedmioty na aukcjach. Jeśli ktoś znajduje się na trasie komunikacji w niezabezpieczonym odpowiednio połączeniu, będzie w stanie podsłuchać transmisję, wykraść sesyjne ciasteczka, a to wystarczy, żeby przejąć konto dowolnego użytkownika, oczywiście absolutnie bez jego wiedzy o tym.

Kim może być atakujący?

Wystarczy, że będzie to osoba znajdująca się w tej samej sieci wi-fi lub podsieci, czy to przewodowej, czy bezprzewodowej i zadziała za pomocą ARP Spoofing. Może to być również osoba administrująca siecią firmową, która również będzie na przykład podczas obiadu przeglądać dla odprężenia aukcje na Allegro. W ten sposób każda osoba administrująca siecią ma dostęp do danych wrażliwych – numerów telefonów czy dokładnego adresu.

Co może dokonać atakujący?

Wiele i niewiele jednocześnie – to znaczy, że będzie w stanie wykonać każdą operację, która nie będzie wymagała podania hasła, ponieważ tego nie będzie w stanie wydobyć – jest szyfrowane za pomocą https. Może jednak podglądać dane osobowe, może również sprawdzić, co dany użytkownik kupić w historii kupionych przedmiotów, może wystawiać również aukcje na nie swoich kontach, narażając innych na koszty.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.