Ale że plaintext ?
09.12.2011 | aktual.: 09.12.2011 22:10
Ostatnio coraz więcej się mówi o tym jak stworzyć bezpieczne hasło oraz to gdzie nie należy chować naszych karteczek z zapisanym hasłem ;‑)
Wszystko fajnie do momentu kiedy to użytkownik myśli, iż jest bezpieczny. Hasło skomplikowane i pamięta je mój mózg - lekcja odrobiona. Ale to wszystko na nic kiedy usługi, z których korzystamy nie przywiązują większego znaczenia to bezpieczeństwa naszych danych.
Jakie wielkie zdziwienie(ba, w sumie po przygodach z Sony to nie powinno mnie już zdziwić) mnie dopadło, kiedy "wykopałem" konwersacje pomiędzy byłym pracownikiem allegro a innym użytkownikami strony Wykop.pl
Miliony kont, monopol na maksa, "społecznie odpowiedzialna marka", ale czy aby na pewno ?
@argothiel: Bardzo różne. Najzabawniejsze jest to, że np. jeśli jakiś User ma hasło przykładowo 'myszka1' to obok jest taka cyferka w nawiasie np. (23). Po kliknięciu w tę cyfrę pojawiają się wszystkie konta z takim samym hasłem. Swoją drogą powinni zrobić spreparowany link, jeśli chcą by Admini logowali się na konto w celu pomocy np. Oczywiście hasła adminów są tajne i ich nie widać ;) Równi i równiejsi? ;)
Aha, czyli moje hasło, które powierzyłem "marce społecznie odpowiedzialnej", jest zapisane w bazie jako zwykły tekst?! A na dodatek złego, administracja urządza sobie rankingi ?
@Macunaima: Historia nr 2, moja: Kiedyś szukałem jakiegoś lokum do wynajęcia. Znalazłem na Gumtree laskę, która chciała współdzielić kawalerkę wyłącznie z facetem, bo baba by jej podbierała kosmetyki etc. Nie chciałem mieszkać z jakimś paszczakiem, więc skopiowałem numer telefonu, wkleiłem do szukajki w panelu, otrzymałem imię i nazwisko. Imię i nazwisko skopiowałem do NK i ... Profit. Okazała się całkiem ładną dziewczyną ;) Ale niestety jak napisałem było nieaktualne :( :D
Upsss. Rok temu miejsce miała podobna wpadka, która umożliwiała poprzez webAPI wgląd w hasła zapisane w jawnym tekście.
Co na to allegro ?
Hasła są zabezpieczone i zaszyfrowane, nie są przechowywane w czystym formacie tekstowym. W takiej formie rzeczywiście występują w paru obszarach serwisu, nie powinny być jednak dostępne dla użytkowników ani pracowników allegro. Tu mieliśmy do czynienia niestety nie tylko z błędem, ale także zbiegiem okoliczności, dzięki któremu był możliwy dostęp, do tych wyjątkowych obszarów.
Ufff. Hasła są zarówno "zabezpieczone jak i zaszyfrowane", ale nie wszędzie. Inne tłumaczenia allegro kieruje dobrem użytkowników i walką z fałszywymi kontami(jakby to hashowanych haseł nie było można porównać...). O zgrozooo, pomieszane wszystko z wszystkim. Otóż pewne jest nie zależnie od tego w jaki sposób hasła są przetrzymywane w bazie, allegro się nie przyzna do winy.
Zatem nasuwa się pytanie: Zemsta pracownika, który wyjawił całą prawdę czy może zwykła ściema? Tak czy inaczej, szerokie grono z tą informacją nie będzie miało do czynienia, wiadomo monopol robi swoje...
PS. Może są tu jacyś "anonimowi", którzy chętnie sprawdzą bazę allegro :)
