info:niebezpiecznik.plKorzystaliście w ostatnich dniach z Allegro? A zauważyliście, że w trakcie chodzenia po serwisie, w niektórych jego sekcjach połączenie przestaje być szyfrowane (nie ma HTTPS)? Brak szyfrowania transmisji to poważny błąd. Umożliwia to atak Man in the Middle, który w pewnych warunkach pozwala na przejęcie Waszego konta Allegro. Dziurawa konfiguracja serwerów Allegro trwa od co najmniej 17 lutego i nie wiadomo kiedy zostanie poprawiona.
Widoki aukcji (i nie tylko) bez HTTPS
Jakub, nasz Czytelnik, zgłosił nam kilka dni temu, że otworzenie w przeglądarce dowolnego widoku aukcji na Allegro powoduje przekierowanie na nieszyfrowaną komunikację HTTP (zamiast HTTPS).
Zaloguj lub Zarejestruj się aby zobaczyć!
My, podczas weryfikacji zgłoszenia Czytelnika namierzyliśmy też inne obszary bez szyfrowania: strona wystawiania przedmiotu oraz Centrum zniżek.
Brak szyfrowania pozwala każdej osobie, która jest na trasie komunikacji od przeglądarki użytkownika Allegro do serwera Allegro na podsłuchanie transmisji, w tym na kradzież ciasteczek sesyjnych. Podsłuchanie czyichś ciasteczek i ustawienie ich w innej przeglądarce umożliwi atakującemu wejście w “sesję” ofiary — użytkownika Allegro — i da możliwość korzystania z jego konta.
Atakującym może być każdy, kto:
- Jest w tej samej otwartej bądź szyfrowanej WEP-em sieci Wi-Fi
- Jest w tej samej podsieci (bezprzewodowej/przewodowej) i wykona prosty atak ARP Spoofing
- Ma kontrolę nad dowolnym urządzeniem sieciowym na trasie pakietów pomiędzy przeglądarką ofiary a serwerami Allegro. To może być np. administrator w firmie, w której ofiara podczas przerwy na lunch przegląda sobie Allegro. Tak, tak, teraz każdy admin może podejrzeć numer telefonu dowolnej koleżanki z pracy, Allegrowiczki, albo jej adres.
Atakujący może zrobić wszystko, co nie będzie wymagało podania od ofiary hasła (tego atakujący nie pozna, bo logowanie do Allegro odbywa się poprzez HTTPS), czyli:
- Podejrzeć czyjeś dane osobowe (imię, nazwisko, adres, numer telefonu)
- Przejrzeć historię kupowanych przedmiotów
- Wystawić aukcję w czyimś imieniu (i tym samym narazić kogoś na koszty)
Powyżej widzicie tylko to, co nam udało się potwierdzić, że można wykonać bez konieczności podania hasła użytkownika. Być może można więcej “złego” ofierze uczynić.
Zaloguj lub Zarejestruj się aby zobaczyć!
Jakub po potwierdzeniu, że atak jest możliwy, czując powagę sytuacji, zgłosił ten problem Allegro:
Zgłosiłem problem do serwisu Allegro 17 lutego 2018. Co prawda otrzymałem odpowiedź po 15 minutach, lecz widzę że mimo pełnego tygodnia roboczego problem pozostał.
Allegro: nie potwierdza, nie zaprzecza
My również postanowiliśmy zgłosić sprawę do Allegro. Odpowiedział nam Michał Bonarowski, który przyznał, że Allegro stara się sukcesywnie przenosić kolejne elementy na bezpieczniejszy protokół (tj. HTTPS), ale nie potrafił określić czasu potrzebnego na zakończenie tej procedury. Następnie Michał Bonarowski dodał:
Czy przeniesienie ciasteczek zadziała – nasze security sprawdza to z programistami, dzięki za Twój sygnał, nic w tej sprawie więcej nie mogę niestety napisać, ale działamy mocno.
Jakby co, to mamy gotową instrukcję krok po kroku, jak przejąć czyjeś ciasteczka (i w konsekwencji konto na Allegro) więc możemy ją podesłać. Nie publikujemy jej teraz, aby nie ułatwiać roboty script-kidsom, ale jakby co — filmik z wizualizacja ataku krok po kroku też mamy gotowy. Wierzymy jednak, że nawet bez naszych pomocy kompetentne osoby w dziale bezpieczeństwa Allegro, które znamy i za których wiedzę ręczymy, też wiedzą jak taki atak przeprowadzić i są świadome problemu. Dlatego ta dziura w Allegro jest taka ciekawa — wygląda bowiem na to, że Allegro jest w trakcie jakiejś migracji, która z nieznanych nam powodów idzie trudniej i wolniej niż planowano. Dział bezpieczeństwa pewnie nie jest z tego powodu zbyt szczęśliwy… a biznes każe działać.
Ataki Man in the Middle i Session Hijacking czy ARP Spoofing znane są od lat i od dawna demonstrujemy je na niebezpiecznikowych szkoleniach zZaloguj lub Zarejestruj się aby zobaczyć!a także naZaloguj lub Zarejestruj się aby zobaczyć!. Te plus kilkanaście innych. Jeśli chcielibyście się dowiedzieć jak zabezpieczać swoje webaplikacje lub serwery przed atakami, zapraszamy naZaloguj lub Zarejestruj się aby zobaczyć!. Do końca tygodnia, każdemu kto podczas rejestracji poda kod “HTTPS powinien być wszędzie” przyznamy 133,73 PLN rabatu.
Mam konto na Allegro — co robić, jak żyć?
Do czasu usunięcia dziury przez pracowników Allegro, czyli do momentu kiedy włączone zostanie wymuszanie szyfrowania (HTTPS) na całości serwisu Allegro rekomendujemy abyście nie korzystali z Allegro. I nie chodzi tylko i wyłącznie o zaprzestanie korzystania z Allegro w “niezaufanych sieciach” czy na otwartych hotspotach w restauracjach i hotelach. Całkowicie musicie przestać korzystać z Allegro, jeśli chcecie mieć pewność że nikt nie przejmie waszego konta. Włączenie dwuskładnikowego uwierzytelnienia do konta czy VPN tu nie pomogą. Nawet przy wykorzystaniu VPN-a istnieje ryzyko, że ktoś przejmie Wasze konto, podejrzy wasze dane osobowe i jeszcze na złość wystawi aukcje w Waszym imieniu.
Jeśli Allegro poprawi konfigurację swojego serwisu internetowego tak, aby umożliwiał bezpieczne korzystanie i wszędzie chronił dane użytkownika, damy Wam znać i odwołamy alarm. Niestety nie wiemy, kiedy to nastąpi. Do tego czasu zakupy powinniście robić w innym miejscu.
Nie lekceważcie tej rekomendacji, bo brak HTTPS jest tak widoczny, że na pewno już wiele osób wpadło na pomysł przejmowania kont użytkowników Allegro w miejscach publicznych i czai się tam na ich dane…
Na koniec dodajmy, że gdyby komuś przyszło do głowy przejąć znajomym z pracy konto na Allegro za pomocą tej dziury, to tego typu działania, nawet w celach “żartu” są łamaniem prawa i zdecydowanie do nich zniechęcamy. Zachęcamy natomiast do naciskania na Allegro, aby jak najszybciej tą usterkę usunął. Nie przystoi, aby tak duży serwis, przez tak długi czas pozwalał na tak trywialne ataki i narażał swoich użytkowników na wyciek ich danych.
PS. Pamiętacie, że jeszcze 7 lat temu nie wszystkie znane i duże serwisy wymuszały pełne szyfrowanie ruchu po HTTPS? GMail był bez HTTPS, Facebook też. Podejście serwisów zmieniło dopiero wydanie dodatkuZaloguj lub Zarejestruj się aby zobaczyć!do Firefoksa. Ten dodatek odpalony w przeglądarce użytkownika wykonywał atak arp spoofing i pokazywał loginy wszystkich innych osób z lokalnej podsieci, które korzystają z internetu i są zalogowane na znanych serwisach. Wystarczyło kliknąć w wybrany login, aby automatycznie wejść na konto ofiary (dodatek spoofował żądanie z ciastkami ofiary). Dwa lata później pojawił się Edward Snowden, któryZaloguj lub Zarejestruj się aby zobaczyć!i to dopiero od tego zaczęło się masowe ruszenie w stronę “HTTPS powinien być wszędzie”! Teraz jesteśmy na etapie, że Google obniża pozycję w wynikach wyszukiwania stronom, które nie korzystają z HTTPS a za kilka miesięcy przeglądarki zaczną wyraźnie ostrzegać użytkowników, jeśli wejdą na stronę, która nie korzysta z szyfrowania (HTTPS). HTTPS jest dziś koniecznością. I dobrze.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
