Archiwum Tagów | "bezpieczeństwo"

Tags: ,

Uwaga: Zakładanie kont allegro na dane innych osób

Opublikowano: 13 lipca 2012 by Konrad Karpieszuk

Pojawił się nowy sposób oszustwa na Allegro. Dzięki opcji aktywowania konta w tym serwisie za pomocą przelewu bankowego oszuści zakładają konta na dane osób, które nawet nie podejrzewają, że za jakiś czas o problemach powiadomi ich policja.

Całość opisał jeden z internautów w tym miejscu. Całość przebiega następująco:

  1. Oszust upatruje ofiarę, której adres i dane zna (na przykład oferując jakąś usługę, zamieszczenie reklamy za grosze i prosząc o dane osobowe) i zakłada na jej dane konto na Allegro (jeszcze nie aktywne)
  2. Następnie prosi o przelew 1,01 złotego za kupioną reklamę. Przelew jednak się nie odbywa na konto oszusta, a konto Allegro.
  3. Allegro aktywuje konto jako zwerfyfikowane
  4. Oszust wystawia mnóstwo fikcyjnych aukcji
  5. Dalej scenariusz jest typowy – allegrowicze wpłacają pieniądze oszustowi, towar nie jest wysyłany, sprawą zajmuje się policja

Tak więc miejmy się na baczności. Po raz kolejny się potwierdza, że podejrzanie niska cena musi być faktycznie podejrzana.

 

Podziel się swoim zdaniem

Tags: , ,

Jestem dobry w łóżku, bo mój brat ma już szóstkę dzieci

Opublikowano: 12 grudnia 2011 by Konrad Karpieszuk

Jedno Allegro przyznać muszę: mają naprawdę dobrych speców od robienia mętliku w głowach swoim użytkownikom (czyli dobrych PRowców). Jakiś czas temu udało im się wmówić wszystkim, że podwyżka opłat jest ich obniżką i chwilę zajęło nim ogół połapał się w tej sztuczce. Teraz przyszedł czas na kolejne tłumaczenie nam jakie to wspaniałe Allegro jest i podawanie argumentów… z innego podwórka.

Przypomnę na czym stoimy: Kilka dni temu ktoś na Wykopie podał się za byłego pracownika Allegro i (po raz kolejny) oskarżył ten serwis, że wszystkie hasła trzyma w formie niezabezpieczonej.

Allegro rozesłało informację prasową, którą wszyscy (a przynajmniej te serwisy, które czytam) łyknęło bez zastanowienia. I nawet tej fragment nie dał nikomu do myślenia:

Poziom bezpieczeństwa w Grupie stoi na bardzo wysokim poziomie i jest nieustannie podwyższany. Miedzy innymi serwis Platnosci.pl uzyskał certyfikację: Payment Card Industry Data Security Standard (PCI DSS) – światowego standard ustalonego przez organizacje finansowe w celu ochrony danych osobowych posiadaczy kart oraz informacji związanych z ochroną danych osobowych.

Allegro, poważnie? Poziom w Grupie jest na wysokim poziomie, bo jeden z jej elementów wysoki poziom ma? Przypomnę, że Grupa Allegro to obecnie 33 serwisy.

Trzydzieści trzy – liczba mniej więcej taka sama, jak liczba uczniów w klasie, gdy chodziłem do podstawówki. Ale choć wszyscy mieliśmy tego samego wychowawcę, w życiu nie przyszło by mi do głowy powiedzieć, że Arek z samymi jedynkami w dzienniku był wybitnym uczniem, bo Mateusz wygrał olimpiadę wiedzową.

Tłumaczenie, że Allegro jest bezpieczne, bo Płatności dostały certyfikat, jest jak tłumaczenie, że jestem dobry w łóżku, bo mój brat ma mnóstwo dzieci.

Grupo: jeśli chcecie dowieść, że Allegro jest bezpieczne, dlaczego i jemu nie skołujecie takiego samego lub podobnego certyfikatu?

A może już próbowaliście, ale się nie udało?

2 komentarze

Tags: , ,

Mądre Allegro po szkodzie, czyli wielkie nocne sprzątanie

Opublikowano: 25 listopada 2010 by Konrad Karpieszuk

Jeśli jeszcze nie widzieliście, to zobaczcie jak bardzo Allegro nawaliło dzisiaj. Okazało się, że użytkownikom ich webapi udostępniało wszystkie informacje osobiste swoich użytkowników. Co więcej wśród tych informacji ujawniane było hasło, które jak się okazało przy okazji nigdy nie było trzymane na serwerach Allegro w postaci zaszyfrowanej.

Ja jestem chyba zbyt świeżym programistą, bo nawet sobie nie potrafię wyobrazić, że można stworzyć serwis internetowy pozwalający na takie niedbalstwo o bezpieczeństwo haseł. Od kiedy programuję, zawsze hasła haszuję, rozumiem  jednak, że Allegro to stary serwis, napisany zapewne niedbale, z naroślami w postaci kodu nowych funkcji. Tak już bywa, że jak się coś zacznie robić źle na początku, to potem trzeba się już takiego śmietnika trzymać. Bo niby zwykła zmiana haseł na haszowane to w takim wypadku może być potężny refaktoring – któż tam pamięta w ilu miejscach trzeba będzie przepisać kod by to wszystko jednak działało?

I niestety – kiedyś musiała przyjść pora by i za to się wziąć. Katastrofa wizerunkowa jest dobrym do tego impulsem. Właśnie próbowałem wejść na Allegro i zamiast strony przedmiotu, ujrzałem takie oto coś:

Trwa właśnie – w żaden sposób nie zapowiedziana, więc niemal na pewno wymuszona wyciekiem – przerwa techniczna. Jeśli tak jak podejrzewam w czasie tej przerwy hasła są haszowane, nie sądzę by tak jak to zapowiadają, wyrobili się przed trzecią. Ale zobaczymy 🙂

4 komentarze

Tags: , ,

Nowe hasła w Allegro

Opublikowano: 09 października 2009 by Konrad Karpieszuk

Czy ktoś z Was dostał maila o treści jak poniżej?

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Ja nie dostałem. Mogę więc spać chyba spokojnie. Po pierwsze nikt mi nie grozi, że jak go nie posłucham skasuje mi konto, na którym pieczołowicie od lat starałem się wyrobić jako taką markę. Po drugie nikt chyba mojego hasła nie wykradł – plotka bowiem mówi, że powodem rozsyłania listu jest przejęcie haseł z niektórych kont.

Paweł Opydo pytał u źródeł i źródła mu powiedziały, że wszystko jest ok i Paweł im wierzy. Ja jedno w co wierzę, to to, że biuro prasowe Allegro  nie mogło przecież odpowiedzieć inaczej. Co mieli odpisać? „Damn, przyłapałeś nas. Mieliśmy nadzieję, że się nie wyda, ale skoro już pytasz, nie  możemy kłamać, bo to jest fe. Faktycznie ktoś wykradł hasła i jesteśmy w d.pie”? 😉

Nie twierdzę, że włamanie było, bo tego nie wiem. Ale pobawmy się w adwokata diabła i spróbujmy pogdybać co jeśli faktycznie włamanie było.

Po pierwsze hasła muszą zmienić niektórzy użytkownicy. Dlaczego niektórzy? Czytelniku, jeśli dostałeś takiego maila jak wyżej, możesz zdradzić jakie miałeś hasło? Nie  musisz zdradzać dokładnie; napisz  czy zawierało jakieś znaki specjalne, czy było zwykłym wyrazem? Czy było takie samo jak gdzieś jeszcze (na przykład na Wykopie, który to puścił hasła części użytkowników w świat)?

Dlaczego ja nie muszę zmieniać hasła? Nie  wiem. Moje hasło jest inne niż na Wykopie. Krótkie, ale składające się z różnych znaków. Litery, cyfry, znaki specjalne.

Po drugie, jak zgaduje Paweł, Allegro wprowadza nowy algorytm szyfrowania haseł w bazie. Silniejszy. Czyli albo zaczną solić stosowany obecnie  – zgaduje – md5, albo przejdą na inny popularny albo własny.

W żadnym z tych wypadków  nie trzeba prosić o zmianę haseł użytkowników, a już zwłaszca części użytkowników. Zwyczajnie: użytkownik się loguje, sprawdzamy czy hasło pasuje do już obecnego hasha, jeśli tak tworzymy nowy na bazie nowego algorytmu, stary kasujemy, a nowy zapisujemy. Zrobione.

No, ja po prostu nie wierzę, że to rutynowe działanie. Ale jedyne co mogę to zgadywać.

2294144289_a54db90ac5_b

3 komentarze

Tags: , , ,

Pierwsze żniwo wycieku danych w Wykop.pl?

Opublikowano: 20 września 2009 by Konrad Karpieszuk

I proszę. Serwis vBeta donosi, że komuś „jakoś” udało się dostać do kont 900 osób na Allegro, wystawić w nich fikcyjne aukcje z telefonami komórkowymi i konsolami do gier i wyłudzić w ten sposób od kupujących 140000 złotych.

„Jakoś” wpisałem specjalnie z cudzysłowem, bo idę o zakład, że to pokłosie włamu gimnazjalistów na Wykop.

Jedno mnie zastanawia: czy to, że nie słyszymy o przypadkach „oszukano na Allegro, sprawcy nie ustalono” to efekt tego, że wszystkich oszustów się tak łatwo łapie, czy też takie przypadki Allegro ukrywa? Raczej sądzę, że to pierwsze, bo słyszelibyśmy o relacjach ludzi oszukanych.

policja_akcja2

Jeden komentarz jak do tej pory

Tags: , , ,

Włamanie na Wykop szkodzi użytkownikom Allegro

Opublikowano: 05 września 2009 by Konrad Karpieszuk

Dostałem na skrzynkę wiadomość niby od administratorów Wykopu z informacją abym zalogował się na ich stronę i zmienił hasło, bo ponoć było włamanie i jestem w niebezpieczeństwie. Oczywiście pomyślałem, że to kolejna lamerska próba phishingu (to przecież standard podszywać się pod banki, pod Allegro i prosić aby na fałszywej stronie podać swoje prawdziwe hasło pod pretekstem włamania).

Ale nie. To nie lamerska próba phishingu, a kolejne z serii lamerskie zachowanie adminów Wykopu. List faktycznie został wysłany przez nich. Nie można było zrobić tego rzetelnie i wysłać list bez podanych odnośników? Wykopowicze znają przecież adres do Wykopu.

Ale pal licho ta lamerka. Okazuje się, że faktycznie admini zachowali się kiepsko już jakiś czas temu. Dokładnie w momencie kiedy zaczęli tworzyć nową wersję serwisu i owe testowe, na pewno zabugowione (jak każde testowe) oprogramowanie oparli na prawdziwej bazie danych użytkowników Wykopu :\

Cholera, sobie pomyślałem. Jest akurat tak, że mam cztery poziomy haseł: pierwszy do banków (jakby nie było składający się z ponad 20 znaków, nie zawierający żadnych słów w sobie), drugie do serwisów aukcyjnych, trzecie do poczty i czwarte do wszystkiego innego. W tym Wykopu.

Czyli ja mam całkiem spoko. Jak ktoś mi odczyta hasło do Wykopu, to co najwyżej włamie mi się na konto jakiegoś podrzędnego forum.

Tyle, że już teraz się okazuje, że osoby posiadające wykradzioną bazę danych już zaczęli testować swoje znalezisko. I jak widać w pierwszej kolejności postanowili zrobić sobie jaja z tych wykopowiczów, którzy te samo hasło zastosowali na Allegro. Jakby nie było w miejscu, na którym obraca się realnymi pieniędzmi.

Oto zrzut ekranu ze skrzynki pocztowej jednego z nieszczęśników:

wlamanieWykop

Efekt? Kilkanaście zepsutych aukcji (w tym wypadku) i zamknięte konto nieszczęśnika.

Jakie z tego można wyciągnąć wnioski? Właściwie prozaiczne: tam gdzie obracasz pieniędzmi, stosuj unikalne hasła. A jeśli jesteś adminem jakiejś stronki, naucz się czym jest sól przy tworzeniu hashy. Bo zwykły hash już od dawna nie jest skuteczny.

3 komentarze

Tags: ,

Nigdy nie pisałem o Subasta.pl

Opublikowano: 05 stycznia 2008 by Konrad Karpieszuk

…Bo i nie było po co. Jestem stałym bywalcem grup dyskusyjnych, a tam właściciel tego serwisu zdołał napsuć wiele krwi swoim spamem. Nie ma więc po co reklamować tej strony.

Jednak właśnie Subasta wraca do gry z nową taktyką serwisu, który ma zamiar poskromić Allegro i którego Allegro panicznie się boi. Tylko w ciągu dwóch dni na Alert24 ktoś napisał artykuł jak to właściciel Gadu-Gadu, który jest zarazem właścicielem Allegro blokuje w GG odnośniki do Subasta przesyłane między użytkownikami.
Mniej więcej w tym samym czasie ktoś na Wykop.pl wrzuca odnośnik do tego serwisu i część użytkowników zaczyna się zachwycać nad wyglądem przypominającym Allegro i wyraża nadzieję na powstanie konkurencji. Przypadek?

Zatem wszystkim zachwyconym: odradzam.

Przede wszystkim za spam. Zasada jest prosta: od spamerów się nic nie kupuje, nie używa się ich produktów i stron. Bo w ten sposób spadamy tak samo nisko, jak spadli i oni.

Po wtóre: z uwagi na osobę stojącą za serwisem. Firmy dbające o PR albo w ogóle publicznie nie komentują krytyki wobec siebie, albo robią to z wielkim taktem. Tymczasem właściciel Subasty (osoba fizyczna) na krytykę wobec swojej strony odpisuje (uwaga osoby o wysokim poczuciu estetyki językowej):

„…ciągnij się kutasie, gówno wiesz a się wypowiadasz.”

Piękne 🙂

Tak więc, drodzy czytelnicy: jeśli szukacie konkurencji wobec Allegro, polecam mój artykuł o eBay, Świstaku i Kiermaszu. Tymczasem Subaście mówie wielkie nie i ostrzegam: w panelu Subasty jest prośba o podanie loginu i hasła do swojego konta na Allegro. Sami pomyślcie po co ktoś o reputacji spamera i pieniacza może tego od nas wymagać 😉

7 komentarzy

Tags:

Kolejny recydywista z Allegro złapany

Opublikowano: 14 grudnia 2007 by Konrad Karpieszuk

Policja udaremniła przestępcze zamiary internetowego oszusta. Młody człowiek nielegalnie zawłaszczył sobie konta internetowe ponad 21 osób. Za ich pomocą prawdopodobnie miał prowadzić sprzedaż różnych przedmiotów na Allegro.pl.

19-letni mieszkaniec Jarosławia był zupełnie zaskoczony tą wizytą rzeszowskiej Policji. Stróże prawa weszli do domu w chwili, gdy właśnie był zalogowany na portalu aukcyjnym. Młody człowiek na widok policjantów wymontował dysk twardy komputera i usiłował go ukryć.

W ustaleń policyjnych śledczych wynika, że 19-latek w ostatnich tygodniach bezprawnie pozyskał hasła do 21 kont internetowych jednego z polskich portali aukcyjnych. Korzystał z informacji w nich zawartych i zarządzał kontami oraz podszywając się pod cudzą tożsamość oferował do sprzedaży różne przedmioty.

Działał w dwojaki sposób. Podszywał się pod pracowników portalu aukcyjnego i do kupujących towary wysyłał prośby o przesłanie poufnych danych. Kilkoro osób mailem przekazało mu swoje hasła.

Ten sam internauta przed dwoma laty został zatrzymany w związku z przestępstwami internetowymi i ma wyrok w zawieszeniu. Za bezprawne pozyskiwanie cudzych informacji grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2.

Źródło: Policja.pl

Podziel się swoim zdaniem

Tags: ,

Czy będą przekręty z PlayStation 3?

Opublikowano: 23 lutego 2007 by Konrad Karpieszuk

Już wkrótce odbędzie się premiera nowej wersji konsoli do gier Sony PlayStation oznaczonej cyferką 3. To doskonała okazja dla wszelkiego typu oszustów.

W szale zakupów w serwisach aukcyjnych, kupujący chcąc nabyć produkt jak najszybciej, nie będą weryfikować uczciwości aukcji. Wielu nawet nie spojrzy, że właśnie kupuję w weekend w jednodniowej aukcji od osoby, która dopiero co założyła zapewne fikcyjne konto. Wpłaci pieniądze i towaru oczywiście nie otrzyma.

Jak informuje serwis AukcjePL, eBay już się do tego przygotował, wprowadzając specjalne ograniczenia na sprzedaż konsol. Krok bardzo słuszny. Czy polskie serwisy, takie jak Allegro czy Świstak także się na to odważą? Zobaczymy, osobiście mam nadzieję, że tak.

Opis spcjalnych ograniczeń na eBay.

Jeden komentarz jak do tej pory

Tags: ,

Kolejny aukcyjny oszust zatrzymany

Opublikowano: 11 stycznia 2007 by Konrad Karpieszuk

Wrocławska policja zatrzymała 21-letniego oszusta oferującego w jednym z serwisów aukcyjnych sprzedaż wysokiej klasy sprzętu elektronicznego, którego de facto nie posiadał. W jego aukcjach wzięło udział prawie 300 osób wpłacając na konto oszusta łącznie ponad 30 tys. zł.

Zatrzymanie nastąpiło niemal w ostatniej chwili – w momencie wkroczenia policji oszust był już spakowany i posiadał bilet na wylot do Hiszpanii gdzie zamierzał zamieszkać na stałe.

Źródło: Onet.pl

Podziel się swoim zdaniem