Potężna dziura w Allegro

Jeden z użytkowników systemu aukcyjnego Allegro.pl odnalazł krytyczną lukę w zabezpieczeniach serwisu. Pozwala ona na pełne przejęcie kont użytkowników. Niestety, podobne luki obecne są w większości systemów aukcyjnych na świecie. QXL Poland stara się zbagatelizować problem, mimo że informacja o dziurze pojawiła się już ponad miesiąc temu.

Podstawą dziury w serwisie aukcyjnym Allegro jest brak weryfikacji użytkownika na poszczególnych stronach serwisu. Z pliku informacyjnym cookie umieszczana jest bowiem zmienna sesyjna PHPSESSID danego użytkownika, która odpowiedzialna jest za autoryzację.

W minionych latach wyciągnięcie informacji umożliwiających przejęcie konta danego użytkownika możliwy był przez użycie skryptu JavaScript. Ta funkcja została jednak jakiś czas temu zablokowana.

Mimo blokady JavaScript nadal istnieje możliwość ingerencji w konta użytkowników...

Po uzyskaniu zmiennej PHPSESSID wprowadzamy ją w naszej przeglądarce, kilkamy "moje allegro" i... od tego czasu mamy pełną kontrolę nad wybranym kontem użytkownika Allegro.

Jak się zabezpieczyć?

Gdy jesteśmy zalogowani w serwisie Allegro starajmy się nie przeglądać innych stron www poza samym serwisem. Znajdujące się na takich stronach obiekty flash mogą wydobyć od nas zmienną sesyjną, która umożliwia przejęcie kontroli nad naszym kontem.

Szczegółowych informacji nie ujawniamy w związku z bezpieczeństwem milionów Internautów.