heh. wszyscy o tym piszą, to i ja napiszę. a co 🙂
wczoraj o 1 w nocy (czyli z przedwczoraj na wczoraj) serwis hacking.pl zamieścił informację, że allegro jest dziurawe i przejęcie uprawnień jest trywialne. co za tym idzie można wystawiać innym aukcje, podejrzeć dane i sporo innych "zabawnych" rzeczy.
padła też informacja, że allegro było powiadamiane dwukrotnie o problemach i sprawę zignorowało.
o 16, 15 godzin później serwis allegro wystawił informację, że w nocy ze środy na czwartek będzie przerwa konserwacyjna. powodu nie podano. informacja ta została skomentowana na stronach hacking.pl wraz z cytatami komentarzy użytkowników allegro 🙂
dziś koło 16 hacking wystawił kolejną informację – mianowicie dostali odpowiedź od allegro. odpowiedź oczywiście pełna standardowego pr'owego bajdurzenia (wypunktowanego ładnie przez rafała pawlaka z hacking.pl). w/g allegro przerwa w nocy nie ma nic wspólnego z zgłoszonymi problemami, a w ogóle to sprawa jest wyolbrzymiona.
sprawa obiła się też o onet, gazeta.pl, itbiznes.pl i pewnie z 100000 innych miejsc.
czemu więc o tym piszę?
bo po raz kolejny widzę w kolejnej dużej firmie brak zwykłej odwagi by powiedzieć wprost: tak, daliśmy ciała, już poprawiamy, dziękujemy za zwrócenie uwagi i postaramy się by się nie powtarzało.
allegro niby to mówi, ale ubiera to w jakieś cuda typu: tak, nie zareagowaliśmy na maila bo cośtam, dziury nie są takie straszne bo cośtam itd.
czemu nikt nie ma odwagi po prostu jasno i krótko przyznać się do błędu, poprawić go, i o sprawie zapomnieć?
Coś mi się wydaje że to wygląda na standardowy problem amatorszczyzny: nie ważne ile firma zarabia, ale zatrudnienie profesjonalisty za więcej niż 2000 brutto miesięcznie nie wchodzi w grę.
W rezultacie większość dużych projektów jest robiona przez studentów no i potem mamy tego efekty.
Napisałem też trochę o tym w swoim blogu:
http://www.jakubiak.eu/2006/12/dlaczego-ataki-xss-s-badzo-grone.html
http://www.jakubiak.eu/2006/12/kamliwe-sprostowania-allegro.html
http://www.jakubiak.eu/2006/12/bdy-w-allegro.html
A ja jednak trzymam strone allegro – wielokrotnie spokałem się z amatorszczyzną po stronie “dziennikarzy” z hacking.pl – dla mnie ten portal cuchnie dziennikiem “fakt” – tyle samo w tym bezstronności i wiarygodności.
To co napisali i pokazali fakt – wskazywało na to że można wrzucić skrypt javascript ale już nic nie było o tym “jak wyciągać hasło” – czyli ogólnie dla mnie tania ściema. Z tymi “powiadomieniami” to samo. Wybacz ale tyle razy hacking.pl dało ciała że średnio mi się chce wierzyć w te ich sensacje.
Pozdrawiam
Bo dochodzi do wniosku, że mu się nie opłaca? To nie kwestia odwagi, tylko kalkulacji. To biznes.
@SG: gówno prawda, pardon my french.
Pracowałeś kiedyśw dużym projekcie który ma szybko wejść na rynek?
To nie jest kwestia fachówców, to jest kwestia tego, że w projektach tego typu jest olbrzymi nacisk na to, żeby skrócić time to market i zdążyć przed konkurencją. I wszystko poza głównymi funkcjonalnościami idzie na bok.
bez przesady z tymi dziurami. to, ze mozna wstrzyknac js’a jeszcze nie znaczy, ze mozna wykrasc hasla i wystawic aukcje jako dowolny user. Owszem, poznasz identyfikator sesji ale nie sadze, ze moglbys go wykozystac, no chyba, ze laczysz sie z tego samego ip ale wtedy sa latwiejsze sposoby wlamu na czyjes konto. dziury oczywiscie byly, sa i beda ale takie rewelacje pachną na odleglosc.
gonzo: Założyłeś, że to IP było sprawdzane. Nie musiało być.
No więc się dowiedziałem jak wyciągnąć hasło. chwyt jest tak prosty, że w życiu bym na niego nie wpadł.
Wstrzyknięty JS wstawia niewidzialny dla usera formularz z polami takimi jak logowanie Allegro. A przeglądarka grzecznie wstawia login i hasło. Potem JS to gdzieś wysyła.
Proste?
Tak – głośno ostatnio o dziurach w allegro, ale śmieszniejsze, że podobny atak można było przeprowadzić na serwisie mBanku 🙂 Ten sam gość pokazał tą dziurę, na szczęście została ona następnego dnia załatana.