Czy ktoś z Was dostał maila o treści jak poniżej?

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Ja nie dostałem. Mogę więc spać chyba spokojnie. Po pierwsze nikt mi nie grozi, że jak go nie posłucham skasuje mi konto, na którym pieczołowicie od lat starałem się wyrobić jako taką markę. Po drugie nikt chyba mojego hasła nie wykradł – plotka bowiem mówi, że powodem rozsyłania listu jest przejęcie haseł z niektórych kont.

Paweł Opydo pytał u źródeł i źródła mu powiedziały, że wszystko jest ok i Paweł im wierzy. Ja jedno w co wierzę, to to, że biuro prasowe Allegro  nie mogło przecież odpowiedzieć inaczej. Co mieli odpisać? „Damn, przyłapałeś nas. Mieliśmy nadzieję, że się nie wyda, ale skoro już pytasz, nie  możemy kłamać, bo to jest fe. Faktycznie ktoś wykradł hasła i jesteśmy w d.pie”?

Nie twierdzę, że włamanie było, bo tego nie wiem. Ale pobawmy się w adwokata diabła i spróbujmy pogdybać co jeśli faktycznie włamanie było.

Po pierwsze hasła muszą zmienić niektórzy użytkownicy. Dlaczego niektórzy? Czytelniku, jeśli dostałeś takiego maila jak wyżej, możesz zdradzić jakie miałeś hasło? Nie  musisz zdradzać dokładnie; napisz  czy zawierało jakieś znaki specjalne, czy było zwykłym wyrazem? Czy było takie samo jak gdzieś jeszcze (na przykład na Wykopie, który to puścił hasła części użytkowników w świat)?

Dlaczego ja nie muszę zmieniać hasła? Nie  wiem. Moje hasło jest inne niż na Wykopie. Krótkie, ale składające się z różnych znaków. Litery, cyfry, znaki specjalne.

Po drugie, jak zgaduje Paweł, Allegro wprowadza nowy algorytm szyfrowania haseł w bazie. Silniejszy. Czyli albo zaczną solić stosowany obecnie  – zgaduje – md5, albo przejdą na inny popularny albo własny.

W żadnym z tych wypadków  nie trzeba prosić o zmianę haseł użytkowników, a już zwłaszca części użytkowników. Zwyczajnie: użytkownik się loguje, sprawdzamy czy hasło pasuje do już obecnego hasha, jeśli tak tworzymy nowy na bazie nowego algorytmu, stary kasujemy, a nowy zapisujemy. Zrobione.

No, ja po prostu nie wierzę, że to rutynowe działanie. Ale jedyne co mogę to zgadywać.

I proszę. Serwis vBeta donosi, że komuś „jakoś” udało się dostać do kont 900 osób na Allegro, wystawić w nich fikcyjne aukcje z telefonami komórkowymi i konsolami do gier i wyłudzić w ten sposób od kupujących 140000 złotych.

„Jakoś” wpisałem specjalnie z cudzysłowem, bo idę o zakład, że to pokłosie włamu gimnazjalistów na Wykop.

Jedno mnie zastanawia: czy to, że nie słyszymy o przypadkach „oszukano na Allegro, sprawcy nie ustalono” to efekt tego, że wszystkich oszustów się tak łatwo łapie, czy też takie przypadki Allegro ukrywa? Raczej sądzę, że to pierwsze, bo słyszelibyśmy o relacjach ludzi oszukanych.

Dostałem na skrzynkę wiadomość niby od administratorów Wykopu z informacją abym zalogował się na ich stronę i zmienił hasło, bo ponoć było włamanie i jestem w niebezpieczeństwie. Oczywiście pomyślałem, że to kolejna lamerska próba phishingu (to przecież standard podszywać się pod banki, pod Allegro i prosić aby na fałszywej stronie podać swoje prawdziwe hasło pod pretekstem włamania).

Ale nie. To nie lamerska próba phishingu, a kolejne z serii lamerskie zachowanie adminów Wykopu. List faktycznie został wysłany przez nich. Nie można było zrobić tego rzetelnie i wysłać list bez podanych odnośników? Wykopowicze znają przecież adres do Wykopu.

Ale pal licho ta lamerka. Okazuje się, że faktycznie admini zachowali się kiepsko już jakiś czas temu. Dokładnie w momencie kiedy zaczęli tworzyć nową wersję serwisu i owe testowe, na pewno zabugowione (jak każde testowe) oprogramowanie oparli na prawdziwej bazie danych użytkowników Wykopu :\

Cholera, sobie pomyślałem. Jest akurat tak, że mam cztery poziomy haseł: pierwszy do banków (jakby nie było składający się z ponad 20 znaków, nie zawierający żadnych słów w sobie), drugie do serwisów aukcyjnych, trzecie do poczty i czwarte do wszystkiego innego. W tym Wykopu.

Czyli ja mam całkiem spoko. Jak ktoś mi odczyta hasło do Wykopu, to co najwyżej włamie mi się na konto jakiegoś podrzędnego forum.

Tyle, że już teraz się okazuje, że osoby posiadające wykradzioną bazę danych już zaczęli testować swoje znalezisko. I jak widać w pierwszej kolejności postanowili zrobić sobie jaja z tych wykopowiczów, którzy te samo hasło zastosowali na Allegro. Jakby nie było w miejscu, na którym obraca się realnymi pieniędzmi.

Oto zrzut ekranu ze skrzynki pocztowej jednego z nieszczęśników:

Efekt? Kilkanaście zepsutych aukcji (w tym wypadku) i zamknięte konto nieszczęśnika.

Jakie z tego można wyciągnąć wnioski? Właściwie prozaiczne: tam gdzie obracasz pieniędzmi, stosuj unikalne hasła. A jeśli jesteś adminem jakiejś stronki, naucz się czym jest sól przy tworzeniu hashy. Bo zwykły hash już od dawna nie jest skuteczny.

…Bo i nie było po co. Jestem stałym bywalcem grup dyskusyjnych, a tam właściciel tego serwisu zdołał napsuć wiele krwi swoim spamem. Nie ma więc po co reklamować tej strony.

Jednak właśnie Subasta wraca do gry z nową taktyką serwisu, który ma zamiar poskromić Allegro i którego Allegro panicznie się boi. Tylko w ciągu dwóch dni na Alert24 ktoś napisał artykuł jak to właściciel Gadu-Gadu, który jest zarazem właścicielem Allegro blokuje w GG odnośniki do Subasta przesyłane między użytkownikami.
Mniej więcej w tym samym czasie ktoś na Wykop.pl wrzuca odnośnik do tego serwisu i część użytkowników zaczyna się zachwycać nad wyglądem przypominającym Allegro i wyraża nadzieję na powstanie konkurencji. Przypadek?

Zatem wszystkim zachwyconym: odradzam.

Przede wszystkim za spam. Zasada jest prosta: od spamerów się nic nie kupuje, nie używa się ich produktów i stron. Bo w ten sposób spadamy tak samo nisko, jak spadli i oni.

Po wtóre: z uwagi na osobę stojącą za serwisem. Firmy dbające o PR albo w ogóle publicznie nie komentują krytyki wobec siebie, albo robią to z wielkim taktem. Tymczasem właściciel Subasty (osoba fizyczna) na krytykę wobec swojej strony odpisuje (uwaga osoby o wysokim poczuciu estetyki językowej):

„…ciągnij się kutasie, gówno wiesz a się wypowiadasz.”

Piękne

Tak więc, drodzy czytelnicy: jeśli szukacie konkurencji wobec Allegro, polecam mój artykuł o eBay, Świstaku i Kiermaszu. Tymczasem Subaście mówie wielkie nie i ostrzegam: w panelu Subasty jest prośba o podanie loginu i hasła do swojego konta na Allegro. Sami pomyślcie po co ktoś o reputacji spamera i pieniacza może tego od nas wymagać

Policja udaremniła przestępcze zamiary internetowego oszusta. Młody człowiek nielegalnie zawłaszczył sobie konta internetowe ponad 21 osób. Za ich pomocą prawdopodobnie miał prowadzić sprzedaż różnych przedmiotów na Allegro.pl.

19-letni mieszkaniec Jarosławia był zupełnie zaskoczony tą wizytą rzeszowskiej Policji. Stróże prawa weszli do domu w chwili, gdy właśnie był zalogowany na portalu aukcyjnym. Młody człowiek na widok policjantów wymontował dysk twardy komputera i usiłował go ukryć.

W ustaleń policyjnych śledczych wynika, że 19-latek w ostatnich tygodniach bezprawnie pozyskał hasła do 21 kont internetowych jednego z polskich portali aukcyjnych. Korzystał z informacji w nich zawartych i zarządzał kontami oraz podszywając się pod cudzą tożsamość oferował do sprzedaży różne przedmioty.

Działał w dwojaki sposób. Podszywał się pod pracowników portalu aukcyjnego i do kupujących towary wysyłał prośby o przesłanie poufnych danych. Kilkoro osób mailem przekazało mu swoje hasła.

Ten sam internauta przed dwoma laty został zatrzymany w związku z przestępstwami internetowymi i ma wyrok w zawieszeniu. Za bezprawne pozyskiwanie cudzych informacji grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2.

Źródło: Policja.pl

Już wkrótce odbędzie się premiera nowej wersji konsoli do gier Sony PlayStation oznaczonej cyferką 3. To doskonała okazja dla wszelkiego typu oszustów.

W szale zakupów w serwisach aukcyjnych, kupujący chcąc nabyć produkt jak najszybciej, nie będą weryfikować uczciwości aukcji. Wielu nawet nie spojrzy, że właśnie kupuję w weekend w jednodniowej aukcji od osoby, która dopiero co założyła zapewne fikcyjne konto. Wpłaci pieniądze i towaru oczywiście nie otrzyma.

Jak informuje serwis AukcjePL, eBay już się do tego przygotował, wprowadzając specjalne ograniczenia na sprzedaż konsol. Krok bardzo słuszny. Czy polskie serwisy, takie jak Allegro czy Świstak także się na to odważą? Zobaczymy, osobiście mam nadzieję, że tak.

Opis spcjalnych ograniczeń na eBay.

Wrocławska policja zatrzymała 21-letniego oszusta oferującego w jednym z serwisów aukcyjnych sprzedaż wysokiej klasy sprzętu elektronicznego, którego de facto nie posiadał. W jego aukcjach wzięło udział prawie 300 osób wpłacając na konto oszusta łącznie ponad 30 tys. zł.

Zatrzymanie nastąpiło niemal w ostatniej chwili – w momencie wkroczenia policji oszust był już spakowany i posiadał bilet na wylot do Hiszpanii gdzie zamierzał zamieszkać na stałe.

Źródło: Onet.pl

Zamknęte, lecz tylko na (dłuższą) chwilę. Dziś w nocy od godziny 1:00 do 2:00 nastąpi przerwa techniczna, spowodowana wczorajszymi doniesieniami na temat krytycznych luk bezpieczeństwa. Więcej na ten temat jak i co ciekawsze cytaty z forum Allegro dotyczące całej sprawy, znajdziecie jak poprzednio na stronie hacking.pl.

Jak można dowiedzieć się z serwisu hacking.pl włamanie do Allegro i skradzenie danch dowolnego użytkownika wprawnej osobie nie powinno zająć więcej niż kilka minut. Co więcej, włamujący się może poznać także hasło! Pozwala to na całkowite przejęcie konta, a co za tym idzie choćby wyłudzanie pieniędzy od Twoich kupujących lub licytowanie dla kawału z Twojego konta w dowolnych aukcjach.

Przerażające jest to, że Allegro wielokrotnie było informowane o istnieniu tak poważnych luk i jak dotąd nie zareagowało w jakikolwiek sposób! Zastanawiam się teraz ile razy gdy słyszałem, że ktoś komuś przejął konto, a Allegro twierdziło, że to poszkodowany jest sobie winien, bo hasła nie upilnował, de facto to Allegro było winne, bo hasła te dla wprawnej osoby są dostępne w każdej chwili.

Szczegóły wraz ze zrzutami ekranu przedstawiającymi dowody włamań znajdziecie w serwisie hacking.pl.