Czy ktoś z Was dostał maila o treści jak poniżej?

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Ja nie dostałem. Mogę więc spać chyba spokojnie. Po pierwsze nikt mi nie grozi, że jak go nie posłucham skasuje mi konto, na którym pieczołowicie od lat starałem się wyrobić jako taką markę. Po drugie nikt chyba mojego hasła nie wykradł – plotka bowiem mówi, że powodem rozsyłania listu jest przejęcie haseł z niektórych kont.

Paweł Opydo pytał u źródeł i źródła mu powiedziały, że wszystko jest ok i Paweł im wierzy. Ja jedno w co wierzę, to to, że biuro prasowe Allegro  nie mogło przecież odpowiedzieć inaczej. Co mieli odpisać? „Damn, przyłapałeś nas. Mieliśmy nadzieję, że się nie wyda, ale skoro już pytasz, nie  możemy kłamać, bo to jest fe. Faktycznie ktoś wykradł hasła i jesteśmy w d.pie”?

Nie twierdzę, że włamanie było, bo tego nie wiem. Ale pobawmy się w adwokata diabła i spróbujmy pogdybać co jeśli faktycznie włamanie było.

Po pierwsze hasła muszą zmienić niektórzy użytkownicy. Dlaczego niektórzy? Czytelniku, jeśli dostałeś takiego maila jak wyżej, możesz zdradzić jakie miałeś hasło? Nie  musisz zdradzać dokładnie; napisz  czy zawierało jakieś znaki specjalne, czy było zwykłym wyrazem? Czy było takie samo jak gdzieś jeszcze (na przykład na Wykopie, który to puścił hasła części użytkowników w świat)?

Dlaczego ja nie muszę zmieniać hasła? Nie  wiem. Moje hasło jest inne niż na Wykopie. Krótkie, ale składające się z różnych znaków. Litery, cyfry, znaki specjalne.

Po drugie, jak zgaduje Paweł, Allegro wprowadza nowy algorytm szyfrowania haseł w bazie. Silniejszy. Czyli albo zaczną solić stosowany obecnie  – zgaduje – md5, albo przejdą na inny popularny albo własny.

W żadnym z tych wypadków  nie trzeba prosić o zmianę haseł użytkowników, a już zwłaszca części użytkowników. Zwyczajnie: użytkownik się loguje, sprawdzamy czy hasło pasuje do już obecnego hasha, jeśli tak tworzymy nowy na bazie nowego algorytmu, stary kasujemy, a nowy zapisujemy. Zrobione.

No, ja po prostu nie wierzę, że to rutynowe działanie. Ale jedyne co mogę to zgadywać.

Dostałem na skrzynkę wiadomość niby od administratorów Wykopu z informacją abym zalogował się na ich stronę i zmienił hasło, bo ponoć było włamanie i jestem w niebezpieczeństwie. Oczywiście pomyślałem, że to kolejna lamerska próba phishingu (to przecież standard podszywać się pod banki, pod Allegro i prosić aby na fałszywej stronie podać swoje prawdziwe hasło pod pretekstem włamania).

Ale nie. To nie lamerska próba phishingu, a kolejne z serii lamerskie zachowanie adminów Wykopu. List faktycznie został wysłany przez nich. Nie można było zrobić tego rzetelnie i wysłać list bez podanych odnośników? Wykopowicze znają przecież adres do Wykopu.

Ale pal licho ta lamerka. Okazuje się, że faktycznie admini zachowali się kiepsko już jakiś czas temu. Dokładnie w momencie kiedy zaczęli tworzyć nową wersję serwisu i owe testowe, na pewno zabugowione (jak każde testowe) oprogramowanie oparli na prawdziwej bazie danych użytkowników Wykopu :\

Cholera, sobie pomyślałem. Jest akurat tak, że mam cztery poziomy haseł: pierwszy do banków (jakby nie było składający się z ponad 20 znaków, nie zawierający żadnych słów w sobie), drugie do serwisów aukcyjnych, trzecie do poczty i czwarte do wszystkiego innego. W tym Wykopu.

Czyli ja mam całkiem spoko. Jak ktoś mi odczyta hasło do Wykopu, to co najwyżej włamie mi się na konto jakiegoś podrzędnego forum.

Tyle, że już teraz się okazuje, że osoby posiadające wykradzioną bazę danych już zaczęli testować swoje znalezisko. I jak widać w pierwszej kolejności postanowili zrobić sobie jaja z tych wykopowiczów, którzy te samo hasło zastosowali na Allegro. Jakby nie było w miejscu, na którym obraca się realnymi pieniędzmi.

Oto zrzut ekranu ze skrzynki pocztowej jednego z nieszczęśników:

Efekt? Kilkanaście zepsutych aukcji (w tym wypadku) i zamknięte konto nieszczęśnika.

Jakie z tego można wyciągnąć wnioski? Właściwie prozaiczne: tam gdzie obracasz pieniędzmi, stosuj unikalne hasła. A jeśli jesteś adminem jakiejś stronki, naucz się czym jest sól przy tworzeniu hashy. Bo zwykły hash już od dawna nie jest skuteczny.