demonstrującą co można zrobić wykorzystując lukę. W przygotowanej niby-aukcji odnośnik do panelu ("Moje Allegro") prowadził pod nieistniejący adres www.spreparowany-link.phishingowy/ (!), natomiast kliknięcie przycisku "licytuj" przekierowywało do www.niebezpieczna-strona.phishingowa/.

Co więcej osoba, która znalazła błąd wykazała też, że można za jego pomocą podmienić dane sprzedawcy. Na aukcji w rubryce "sprzedawca" można było zobaczyć "słoneczko" i ponad pół tysiąca punktów z systemu komentarzy. Jednak kliknięcie na nazwę konta przenosiło na kartę zupełnie innego użytkownika, posiadającego... zero komentarzy.

W tym przypadku ktoś ewidentnie chciał tylko pokazać istnienie błędu. Jednak ten sam błąd można wykorzystać do np. wyłudzenia hasła. Aby ustrzec się przed tym zagrożeniem należy zwracać uwagę na adres pokazujący się w pasku adresowym (a wcześniej, po wskazaniu kursorem odpowiedniego linku, również na pasku stanu).

Z oczywistych względów nie podaję tutaj bliższych szczegółów odnośnie wykorzystanej techniki. Jeśli chodzi o Allegro, rzecznik serwisu, Bartek Szambelan, zapewnia, że temat jest znany i dział bezpieczeństwa pracuje nad problemem. Kłopot polega na tym, że proste usunięcie przyczyny może uczynić bezwartościowymi wiele szablonów aukcji, z których korzysta (a za które wcześniej płaciło kupując od innych osób) wielu użytkowników wystawiających zwykłe aukcje.

Jak zapowiada Bartek Szambelan, więcej informacji w tym zakresie Allegro udostępni w poniedziałek.


AKTUALIZACJA

Jak mówi osoba, która odnalazła lukę, Paweł "Krejd" Węgrzyn, na zgłoszenie
problemu administrator Allegro odpisało dość szybko, obiecując, że dział
techniczny "kompleksowo sprawdzi" zaistniały problem.

Okazuje się jednak, iż problem pracownikom Allegro znany jest od dawna, a
o możliwości wykorzystania dokładnie tej samej techniki alarmował
obsługę serwisu już ponad rok temu Jacek Z. Strzembkowski, autor
serwisu Aukcje.org.

---

 

Źródło: Dziennik Internautów