iStore z Allegro ma niezakodowane hasła
Posted: Wrzesień 7th, 2009 | Author: balawejder | Filed under: Inne | Tags: allegrp.pl, tomasz dróżdzyński, wykop.pl | No Comments »To, czy w Allegro.pl hasła nie są kodowane jest jedną wielką niewiadomą, ale, że nie są w iStore, systemie sklepowym, którego właścicielem jest Allegro jest pewne jak to, że nie nazywam się Tomek Komercyjny.
W lipcu br. Dziennik Internautów zrobił aferę w związku z podejrzeniem, że w Allegro.pl przechodywane są hasła w czystej, niezakodowanej postaci. Patryk Tryzubiak, PR Manager Allegro bronił się w artykule, że hasła są bezpieczne. Według Allegro wszystko jest w porządku, według komentatorów artykułu to lamerstwo i kłamstwa.
Dwa dni temu w Polsce miało natomiast miejsce spektakularne przedstawienie PR’owe Tomasza Drożdzyńskiego z Wykop.pl. Atak stulecia, 110.000 haseł ( zaszyfrowanych ) zostało wykradzionych z bazy danych wykop.pl. Haker włamał się do niezabezpieczonej bazy Wykopu.pl kilka tygodni temu, wyciągnął m.in loginy i hasła i się tym ostatnio pochwalił. Panika nastała, internauci zaczęli psy wieszać na pracownikach wykopu, przy okazji okazało się, że użytkownicy Wykopu są większymi pieniaczami niż komentatorzy polityczni na onet.pl. Generalnie, sprawa ucichnie, wykop.pl aż tak nie ucierpi wizerunkowo, natomiast internauci częściej będą uważać na swoje hasła.
Co robi w tym czasie Allegro ?
Albo uprzedzając kolejny skandal hasłowy, albo to zwykły zbieg okoliczności administratorzy iStore, platformy sklepowej ze stajni Allegro w dniu dzisiejszym zamieścił taką oto informację dla właścicieli sklepów internetowych używających tego oprogramowania.
Co to oznacza ?
- Że każdy sprzedawca z kilkuset sklepów używających tego oprogramowania mógł zobaczyć hasła swoich Klientów. Że mógł, ale nie musiał, spróbować się zalogować na mejla Klienta, spróbować znaleźć konto na allegro.pl i zrobić sobie zakupy na czyjś koszt. Przyjmijmy jednak, że sprzedawcy nie są ciekawscy i, że są uczciwi i nie wykorzystują takich informacji do nielegalnych praktyk.
- Że hasła zapisane w bazie są czystym tekstem ( bez szyfrowania ) zatem aby je odczytać nie trzeba używać hakerskich narzędzi do odszyfrowywania haseł, wystarczy znajomość znaków alfabetu.
- Każdy z Klientów takiego sklepu za pomocą funkcji Przypominanie hasła mógł do dzisiaj otrzymać hasło na swoją skrzynkę e-mail. Nie linka do resetowania hasła, co jest jednym z bezpieczniejszych sposobów na zmianę hasła lub wygenerowanie nowego, tylko swoje hasło.
Zaufania do sprzedawcy w sklepie internetowym jest bardzo ważne. Powierzamy mu w końcu swoje dane osobowe, adres, numer telefonu. Sprzedawca wie co lubimy kupować, jak często, jakie mamy dewiacje, i jaką gotówką orientacyjnie obracamy.
Znany mi jest przypadek włamania do mieszkania klienta sklepu internetowego, który 2 dni wcześniej kupił 46″ telewizor LCD. Dochodzenie doprowadziło do ujęcia sprawcy, który nie współpracował ze sklepem, a z kurierem, który dostarczył telewizor.
Udostępnianie hasła, które większość internautów ma takie samo do wszystkich innych serwisów to już przesada. Żadna z moich kobiet nie zna żadnego z moich haseł, a co dopiero nieznana mi osoba po drugiej stronie strony internetowej.
Sytuacja jest dość niebezpieczna i skandaliczna. Nie wińmy za to e-handlowców, którzy potrzebuja oprogramowania do prowadzenia swojej sprzedaży. To projektant oprogramowania w tym przypadku Istore, osoba, która zatwierdziła taką funkcjonalność w tym przypadku odpowiada za to, że przez ostatnie 2 lata , kilkuset pracowników kilkuset sklepów internetowych opartych na platformie iStore mogła poznać i wykorzystać hasła kilkuset tysięcy swoich Klientów.
A przypomnijmy, że wielu internautów używa takiego samego hasła do wszystkich lub wielu swoich kont na innych stronach WWW. Mając hasło użytkownika i adres e-mail jakiegoś internauty, z dużym prawdopodobieństwem możemy zalogować się do allegro.pl, banku, serwisu randkowego, e-maila, paypala, flakera, wykopu. Możemy wykraść prywatną korespondencję, zamówić towar, lub w najgorszym wypadku sprzedać takie informacji mafii rosyjskiej, która przemieli trochę lewej gotówki w internetowych serwisach transakcyjnych lub pokerowych.
Najgorsze jest to, że nawet nie pamiętam czy kiedyś nie kupowałem w takim sklepie. Nie zwracam uwagi czasami jakiego oprogramowania używa konkretny sklep internetowy.
Nie pozostaje mi nic innego jak zmienić teraz hasła we wszystkich serwisach, w których mogłem używać, któregoś z 12 moich haseł.
Na chwilę obecną możliwość przypominania haseł i podgląd haseł dla handlowców są zablokowane.
Possibly Related Posts:
- Czego życzy branża branży e-commerce w 2010 roku ?
- OneStep – zakupy via SMS
- Bao.pl czyli bardzo prosty sklep bez wyszukiwarki
- Warszawa wspiera sektor kreatywny. Bójcie się.
Ale pieprzysz głupoty, z Wykop.pl ukradziono zakodowane hasła, które można złamać jedynie metodą bruteforce, która zajmuje ogromną ilość czasu.
@Kubełek nie jedynie, ale masz rację nie wspomniałem o tym, że hasła na wykop.pl były zaszyfrowane.
100% pewności że są trzymane otwartym tekstem nie ma, jest możliwość, że hasła są zaszyfrowane jakimś szyfrem symetrycznym. Co oczywiście wymowy całości specjalnie nie zmienia.
A kubełkowi doradzam wystartować z http://pl.wikipedia.org/wiki/T%C4%99czowe_tablice
Hiperbolizujesz… czemu od razu dumnie brzmiące określenie „haker”? Przecież to nie sztuka wydobyć dane z niezabezpieczonej bazy…
@Tomek Komercyjny i @Mekk
Rainbow Tables można uznać za bf- w końcu są to gotowe hashe, które tylko trzeba porównać z zadanymi.
@mrbox ale nie zmienia to faktu, ze to kubełek pieprzy głupoty o ogromnej ilosci czasu potrzebnej na zlamanie
Wiesz, jak ktoś używa hasła w stylu dupa123, to napewno zajmie to tylko chwilkę, ale weź pod uwagę „bezpiecznie” hasła z kombinacji dużych i małych liter + cyfry, bądź znaki specjalne. Nie dość, że nawet z użyciem Tęczowych tablic zajmie to o wiele, wiele więcej czasu, to dodatkowo dostaną się tylko na konto wykopowe. „Haker” musiał by jeszcze sprawdzić kto z tych 110000 osób używa identycznego loginu i hasła w innym serwisie. Dodatkowo musiał by rozwiązać problem captcha.
Więc błąd wykopu to błahostka w porównaniu do Allegro, gdzie trzymają niezakodowane hasła, które umożliwiają ogromne przekręty bez zbędnego kombinowania.
Moim zdaniem szyfrowanie hasel jest wazne w momencie, kiedy na zewnatrz dostaje sie baza danych uzytkownikow. I to ma je zabezpieczac przed prostym odczytaniem wlamywacza. Natomiast w zaden sposob nie ma mozliwosci zabezpieczyc sie, aby wlasiciel serwisu/serwera tego hasla nie poznal. Ze wzgledu na to jak funkcjonuje http.
Znacznie bardziej mnie zastanawia, dlaczego takie bazy maja szyfrowane hasla, ale np. emaile sa w plain text. Przeciez zaszyfrowanie ich (symetryczne) zdecydowanie zmniejszylo by ryzyko identyfikacji poszczegolnych uzytkownikow i mozliwosc wykorzystania tych hasel.
@Marek Małachowski
Pewnie dlatego że na te maile czasem trzeba coś wysłać
„ale weź pod uwagę “bezpiecznie” hasła z kombinacji dużych i małych liter + cyfry, bądź znaki specjalne.”
za http://project-rainbowcrack.com/buy.htm :
* Size: 32 GB
* Password charset: space and !”#$%&’()*+,-./0123456789:;=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~
* Password length: 1 to 14
Czas znalezienia jednego hasła – z jakies 10-20 minut w zależności od szybkości komutera. Tym oficjalnym tekstem administracji Wykopu o tym jak długo zajmuje złamanie hasła można sobie w 4 litery wsadzić.
„“Haker” musiał by jeszcze sprawdzić kto z tych 110000 osób używa identycznego loginu i hasła w innym serwisie.”
A to jest jakiś problem?
I nie wiem skąd te „podejrzenia” że allegro trzyma hasła w postaci jawnej, przecież jakiś czas temu Allegro ogłosiło, że już będzie brać pod uwagę wielkość liter w haśle przy logowaniu – czyli nie ma żadnych wątpliwości że są trzymane jako czysty tekst.
Eh, złe info mi sie wkleiło, tablice 1-10 znaków sha1 zajmują 1.500 GiB i są sprzedawane razem z dyskiem twardym. Ale jak ktoś ma parę miesięcy czasu to je sobie sam wygeneruje =) A według danych „hackerów” 40% haseł odkodowano po prostym ataku słownikowym.
Nie wiem jak teraz, ale niegdyś Z PEWNOŚCIĄ hasła w Allegro były przechowywane z postaci nieszyfrowanej. Znajomym (mąż i żona) założyłem konta i ustawiłem hasła tymczasowe z uwagą, żeby zmienili na odpowiednie. Hasła NIE były takie same, ale utworzone wg. tego samego schematu (nazwisko odmieniane przez rodzaje + numer domu czyli postaci: kowalski7, kowalska7). Okazało się, że haseł nie zmienili a po jakimś czasie zawiesili im na kilka dni konta. Jednym z argumentów podejrzenia, że obsługuje je ta sama osoba była ZBIEŻNOŚĆ HASEŁ. no comment.
UWAGA SPECJALIŚCI
można nie rozhashowując sprawdzic czy haslo jest latwe. w internecie jest baza hashy, wystarczy porownac hashe z taka baza zahashowanych łatwych hasel, eh specjalisci z was…
gdataonline.com
eeetam, nie tragizujmy
miałem teraz do czynienia z firmą, która jako hasło ustawiła swój NIP. „Przecież nikt się nie włamie, na pewno!”
A ja używam PasswordSafe, i do WSZYSTKICH serwisów/ftpów/domen/itd mam zupełnie inne hasła
Panie Wielki Specjalisto Mateyko
Więc proszę podaj mi jakie to hasło, którego hashem jest 29f00d866fb168ae62bc641982f1705c. Jako, że jestem litościwy to sporo informacji dam na tacy:
- md5
- 7 znaków
- hasło z pewnością słabe: dość często używane słowo naturalne + liczba
Powodzenia z brute force, bo prócz wielkiego szczęścia tylko to Ci może pomóc.
Do „M”: hasło to malina9, zajęło mi to 15 sekund.
@M: malina9, kwestia sekund.
Jeśli hasła są szyfrowane dobrym algorytmem dwustronnym, którego kod jest tajny, to nawet wykradnięcie samej bazy bez znajomości algorytmu nie da możliwości poznania haseł. Wystarczy opracować mocny, duży, niestandardowy algorytm.
Zupełnie z innej beczki – jak zrobiłeś tak doskonałej jakości zrzuty do tekstu?
@Ja
PrintScreen
W AZ.pl najprawdopodobniej też trzymają hasła nie hashowane, albo zapewne hashowane ichniejszym algorytmem, który działa w dwie strony. Dlaczego tak sądzę? jakieś dwa lata temu błądząc po ich panelu natrafiłem na swoje hasło na żywca wyświetlone na ekranie… panel ten sam co teraz, pewnie nic nie zmienili…