Nie korzystajcie z Allegro, bo ryzykujecie że ktoś przejmie Wasze konto

Korzystaliście w ostatnich dniach z Allegro? A zauważyliście, że w trakcie chodzenia po serwisie, w niektórych jego sekcjach połączenie przestaje być szyfrowane (nie ma HTTPS)? Brak szyfrowania transmisji to poważny błąd. Umożliwia to atak Man in the Middle, który w pewnych warunkach pozwala na przejęcie Waszego konta Allegro. Dziurawa konfiguracja serwerów Allegro trwa od co najmniej grudnia 2017 i nie wiadomo kiedy zostanie poprawiona.

Widoki aukcji (i nie tylko) bez HTTPS

Jakub, nasz Czytelnik, zgłosił nam kilka dni temu, że otworzenie w przeglądarce dowolnego widoku aukcji na Allegro powoduje przekierowanie na nieszyfrowaną komunikację HTTP (zamiast HTTPS).

My, podczas weryfikacji zgłoszenia Czytelnika namierzyliśmy też inne obszary bez szyfrowania: strona wystawiania przedmiotu oraz Centrum zniżek.

Brak szyfrowania pozwala każdej osobie, która jest na trasie komunikacji od przeglądarki użytkownika Allegro do serwera Allegro na podsłuchanie transmisji, w tym na kradzież ciasteczek sesyjnych. Podsłuchanie czyichś ciasteczek i ustawienie ich w innej przeglądarce umożliwi atakującemu wejście w “sesję” ofiary — użytkownika Allegro — i da możliwość korzystania z jego konta.

Atakującym może być każdy, kto:

  • Jest w tej samej otwartej bądź szyfrowanej WEP-em sieci Wi-Fi
  • Jest w tej samej podsieci (bezprzewodowej/przewodowej) i wykona prosty atak ARP Spoofing
  • Ma kontrolę nad dowolnym urządzeniem sieciowym na trasie pakietów pomiędzy przeglądarką ofiary a serwerami Allegro. To może być np. administrator w firmie, w której ofiara podczas przerwy na lunch przegląda sobie Allegro. Tak, tak, teraz każdy admin może podejrzeć numer telefonu dowolnej koleżanki z pracy, Allegrowiczki, albo jej adres.

Atakujący może zrobić wszystko, co nie będzie wymagało podania od ofiary hasła (tego atakujący nie pozna, bo logowanie do Allegro odbywa się poprzez HTTPS), czyli:

  • Podejrzeć czyjeś dane osobowe (imię, nazwisko, adres, numer telefonu)
  • Przejrzeć historię kupowanych przedmiotów
  • Wystawić aukcję w czyimś imieniu (i tym samym narazić kogoś na koszty)

Powyżej widzicie tylko to, co nam udało się potwierdzić, że można wykonać bez konieczności podania hasła użytkownika. Być może można więcej “złego” ofierze uczynić.

Mówiąc bardziej obrazowo: choć przez większość swojej obecności na Allegro połączenie jest nieszyfrowane, to jeśli przez chwilę użytkownik wejdzie w obszar bez szyfrowania, pośle w świat bez szyfrowania swoje ciasteczka sesyjne (nie mają one w Allegro flagi Secure, która chroniła by je przed udostępnianiem poprzez nieszyfrowane połączenie). Ktoś kto te ciasteczka podejrzy (czyli np. Pan w kapeluszu, który siedzi w drugim rogu kawiarni, albo Janusz z pokoju 201 korzystający z tego samego hotelowego Wi-Fi), nie będzie potrzebował znać hasła użytkownika do którego należą ciasteczka. Wystarczy, że ciasteczek ich w żądaniu HTTP do Allegro wykonanym ze swojego komputera i już będzie siedział na koncie ofiary.

Jakub po potwierdzeniu, że atak jest możliwy, czując powagę sytuacji, zgłosił ten problem Allegro:

Zgłosiłem problem do serwisu Allegro 17 lutego 2018. Co prawda otrzymałem odpowiedź po 15 minutach, lecz widzę że mimo pełnego tygodnia roboczego problem pozostał.

Allegro: nie potwierdza, nie zaprzecza

My również postanowiliśmy zgłosić sprawę do Allegro. Odpowiedział nam Michał Bonarowski, który przyznał, że Allegro stara się sukcesywnie przenosić kolejne elementy na bezpieczniejszy protokół (tj. HTTPS), ale nie potrafił określić czasu potrzebnego na zakończenie tej procedury. Następnie Michał Bonarowski dodał:

Czy przeniesienie ciasteczek zadziała – nasze security sprawdza to z programistami, dzięki za Twój sygnał, nic w tej sprawie więcej nie mogę niestety napisać, ale działamy mocno.

Jakby co, to mamy gotową instrukcję krok po kroku, jak przejąć czyjeś ciasteczka (i w konsekwencji konto na Allegro) więc możemy ją podesłać. Nie publikujemy jej teraz, aby nie ułatwiać roboty script-kidsom, ale jakby co — filmik z wizualizacja ataku krok po kroku też mamy gotowy. Wierzymy jednak, że nawet bez naszych pomocy kompetentne osoby w dziale bezpieczeństwa Allegro, które znamy i za których wiedzę ręczymy, też wiedzą jak taki atak przeprowadzić i są świadome problemu. Dlatego ta dziura w Allegro jest taka ciekawa — wygląda bowiem na to, że Allegro jest w trakcie jakiejś migracji, która z nieznanych nam powodów idzie trudniej i wolniej niż planowano. Dział bezpieczeństwa pewnie nie jest z tego powodu zbyt szczęśliwy… a biznes każe działać.

Ataki Man in the Middle i Session Hijacking czy ARP Spoofing znane są od lat i od dawna demonstrujemy je na niebezpiecznikowych szkoleniach z Atakowania i Ochrony Webaplikacji a także na Bezpieczeństwie Sieci Komputerowych. Te plus kilkanaście innych. Jeśli chcielibyście się dowiedzieć jak zabezpieczać swoje webaplikacje lub serwery przed atakami, zapraszamy na najbliższe terminy naszych szkoleń. Do końca tygodnia, każdemu kto podczas rejestracji poda kod “HTTPS powinien być wszędzie” przyznamy 133,73 PLN rabatu.

Mam konto na Allegro — co robić, jak żyć?

Do czasu usunięcia dziury przez pracowników Allegro, czyli do momentu kiedy włączone zostanie wymuszanie szyfrowania (HTTPS) na całości serwisu Allegro rekomendujemy abyście nie korzystali z Allegro. I nie chodzi tylko i wyłącznie o zaprzestanie korzystania z Allegro w “niezaufanych sieciach” czy na otwartych hotspotach w restauracjach i hotelach. Całkowicie musicie przestać korzystać z Allegro, jeśli chcecie mieć pewność że nikt nie przejmie waszego konta. Włączenie dwuskładnikowego uwierzytelnienia do konta czy VPN tu nie pomogą. Nawet przy wykorzystaniu VPN-a istnieje ryzyko, że ktoś przejmie Wasze konto, podejrzy wasze dane osobowe i jeszcze na złość wystawi aukcje w Waszym imieniu.

Jeśli Allegro poprawi konfigurację swojego serwisu internetowego tak, aby umożliwiał bezpieczne korzystanie i wszędzie chronił dane użytkownika, damy Wam znać i odwołamy alarm. Niestety nie wiemy, kiedy to nastąpi. Nie lekceważcie tej rekomendacji, bo brak HTTPS jest tak widoczny, że na pewno już wiele osób wpadło na pomysł przejmowania kont użytkowników Allegro w miejscach publicznych i czai się tam na ich dane…

Na koniec dodajmy, że gdyby komuś przyszło do głowy przejąć znajomym z pracy lub obcym ludziom w kawiarnii konto na Allegro za pomocą tej dziury, to tego typu działania, nawet w celach “żartu” są łamaniem prawa i zdecydowanie do nich zniechęcamy. Zachęcamy natomiast do naciskania na Allegro, aby jak najszybciej tę lukę usunął. Nie przystoi, aby tak duży serwis, przez tak długi czas pozwalał na tak trywialne ataki i narażał swoich użytkowników na wyciek ich danych.

PS. Pamiętacie, że jeszcze 7 lat temu nie wszystkie znane i duże serwisy wymuszały pełne szyfrowanie ruchu po HTTPS? GMail był bez HTTPS, Facebook też. Podejście serwisów zmieniło dopiero wydanie dodatku Firesheep do Firefoksa. Ten dodatek odpalony w przeglądarce użytkownika wykonywał atak arp spoofing i pokazywał loginy wszystkich innych osób z lokalnej podsieci, które korzystają z internetu i są zalogowane na znanych serwisach. Wystarczyło kliknąć w wybrany login, aby automatycznie wejść na konto ofiary (dodatek spoofował żądanie z ciastkami ofiary). Dwa lata później pojawił się Edward Snowden, który ujawnił, że NSA podsłuchuje wszystko wszędzie i to dopiero od tego zaczęło się masowe ruszenie w stronę “HTTPS powinien być wszędzie”! Teraz jesteśmy na etapie, że Google obniża pozycję w wynikach wyszukiwania stronom, które nie korzystają z HTTPS a za kilka miesięcy przeglądarki zaczną wyraźnie ostrzegać użytkowników, jeśli wejdą na stronę, która nie korzysta z szyfrowania (HTTPS). HTTPS jest dziś koniecznością. I dobrze.


Aktualizacja 1.03.2018, 19:02
Jak informuje nas inny Czytelnik, brak HTTPS występował już w grudniu 2017. Jeszcze inny Czytelnik twierdzi, że HTTPS-a na stronach z aukcjami nie było nigdy…

A Allegro — nie nam a na innym serwisie — umieściło w tej sprawie takie zupełnie nietrafne oświadczenie (może dlatego nam go nie podesłali):

Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów. Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS. Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów. To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej, dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów i uniemożliwiają przejęcie jakiegokolwiek konta.

Więc po kolei rozłóżmy to oświadczenie na czynniki pierwsze i pokażmy gdzie Allegro mija się z prawdą.

    • 1. “

Zakupy na Allegro są bezpieczne podobnie jak dane naszych klientów.

    • ” —

Nie, to nie jest prawda.

    •  Wykazaliśmy w jakich przypadkach ktoś może wejść na konto użytkownika Allegro i podejrzeć zarówno jego dane jak i historię transakcji. Sam proces zakupowy jest realizowany przez zewnętrzne podmioty, więc jest bezpieczny. Chyba, że jak twierdzi jeden z naszych Czytelników, ofiara będzie miała podpiętą kartę płatniczą i ktoś tą kartą z konta ofiary zrobi zakupy.

2. “Większość kluczowych działań klientów w serwisie odbywa się od dawna na stronach w pełni szyfrowanych protokołem HTTPS.” —
Tak, to jedyne w pełni zgodne z prawdą zdanie zdanie w tym oświadczeniu. Zwracamy jednak uwagę na słowo większość. Nasz artykuł dotyczy właśnie tej “mniejszości”. Jeśli podczas zakupów na Allegro nie oglądasz strony aukcji, to jesteś bezpieczny. Z tym, że nie da się nie obejrzeć strony aukcji w trakcie zakupów…

3. “Opisane zjawisko to nie jest luka bezpieczeństwa masowo zagrażająca bezpieczeństwu naszych klientów.” — Przesyłanie ciasteczek sesyjnych bez szyfrowania to jak najbardziej luka, dziura, błąd i od lat niezgodność z dobrymi praktykami. I generalnie nie przystoi takiemu serwisowi.

4.1 “To raczej właściwość internetu od jego zarania, związana z protokołem HTTP (który jest protokołem nieszyfrowanym) wykorzystywanym od lat niemal na każdej stronie internetowej,…” — Że co?

4.2 “dlatego w Allegro wykorzystujemy wiele dodatkowych zabezpieczeń i mechanizmów, które chronią dane klientów” — tak, to może być prawda, ale nie stwierdziliśmy ani wiązania sesji z adresem IP (to byłoby zresztą niezbyt dobrym pomysłem) ani fingerprintingu klienta. Zarówno zmiana adres IP jak i UA, czy innych parametrów żądania dalej była akceptowana przez serwer. Allegro broni dostępu do zakładki “Twoje dane”, wymuszając podanie hasła, to fakt. Ale dane ofiary da się odczytać kupując coś na jakiejkolwiek aukcji — jak na screenshocie powyżej zobaczycie wtedy adres dostawy i numer telefonu.

4.3. “i uniemożliwiają przejęcie jakiegokolwiek konta.” — kłamstwo. Zademonstrowaliśmy jak poprzez atak MITM i podsłuchanie ciasteczek przejąć czyjeś konto. A więc przejmowanie kont jest możliwe.

Innymi słowy, problem jest. Allegro doskonale zdaje sobie z niego sprawę. I tak nieudane, a co więcej niezgodne z prawdą oświadczenia jak powyższe tego nie zmienią. Podpowiemy Wam co sprawi, że użytkownicy Allegro, ich konta i ich dane będą bezpieczni — wdrożenie HTTPS na całości serwisu. Tak jak od lat robi to każda firma, dla której bezpieczeństwo klientów jest istotne.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *