Allegro wydało oświadczenie
Redakcja | 2006-12-20 16:00:48
Od Pana Patryka Tryzubiaka - PR Managera Allegro - otrzymaliśmy oświadczenie w sprawie poziomu bezpieczeństwa serwisu aukcyjnego. Pozwoliłem sobie na jego krótki komentarz.W związku z pojawiającymi się w niektórych serwisach internetowych informacjami o braku zabezpieczenia serwisu Allegro.pl chciałbym zdementować te informacje. Rzeczywiście sytuacja opisywana przez serwis hacking.pl miała miejsce.
Rafał Pawlak: Dementowanie tego typu informacji przy jednoczesnym potwierdzeniu naszych doniesień jest jednym słowem - nielogiczne.
Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest co najmniej nadużyciem.
A jak można inaczej określić uzyskanie dostępu do danych osobowych - łącznie z adresem zamieszkania, numerem telefonu, nazwy użytkownika i jego hasła, listę wystawionych / obserwowanych aukcji itd. - każdego użytkownika serwisu Allegro ?
Że poziom zabezpieczeń jest na 2+ ?
Nie będziemy bronić się przed zarzutami stawianymi przez Pana Łukasza. Rzeczywiście dokonał on tego czego dokonał.
To stwierdzenie również przeczy pierwszemu zdaniu owego oświadczenia.
Co więcej chcielibyśmy podziękować mu za sposób w jaki próbował załatwić te sprawę. Pan Łukasz nie robił sztucznego szumu. Zamiast tego skontaktował się z naszym serwisem i próbował nam pomóc w rozwiązaniu problemu. Za to jesteśmy mu wdzięczni. Tak jak jesteśmy wdzięczni za każdą informację mogącą pomóc w zwiększeniu bezpieczeństwa i funkcjonalności naszego serwisu.
Faktycznie nasza reakcja na maila Pana Łukasza była spóźniona. Nie wynikało to jednak ze złej woli pracowników naszego serwisu. Po prostu mail ten trafił do kolejki w formularzu zgłoszeniowym. W związku z okresem przedświątecznym pozostał tam dłużej niż powinien. Niestety okres przedświąteczny jest dla nas zawsze związany ze wzmożoną pracą oraz dużo większą ilością korespondencji.
Tłumaczenie wpadki okresem przedświątecznym brzmi tak, jak opowiadanie o zimie, która znów zaskoczyła drogowców.
W momencie gdy dotarliśmy do informacji od Pana Łukasza nasz dział techniczny rozpoczął natychmiastowe prace nad poprawieniem bezpieczeństwa naszego serwisu.
W celu wyeliminowania podobnych problemów komunikacyjnych w przyszłości stworzyliśmy oddzielną kolejkę:
Bezpieczeństwo>Zgłoszenia dotyczące zabezpieczeń serwisu
oraz
Sprawy techniczne>Zgłoszenia dotyczące zabezpieczeń serwisu
W obu tych formularzach można zgłaszać uwagi dla naszego Działu Technicznego.
Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci. Faktycznie problem ten miał miejsce. Został już jednak naprawiony.
To oczywiste, szczególnie po tym jak całą sprawą zainteresowały się redakcje Onet'u i TVN24
Nie jest jednak tak, że dowolna osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl.
Wymagał jedynie otwarcia linka...
Nie prawdą jest, jak twierdzi Pan Rafał Pawlak z hacking.pl, że: "Każdy Użytkownik był skazany na łaskę osób, które doskonale wiedziały, że błędy w oprogramowaniu dają im pełną kontrolę nad kontem każdego handlującego na Allegro".
Podtrzymuje swoje zdanie, zdaje sobie sprawę z wagi tego stwierdzenia ale takie są fakty.
I ostatni zarzut, czyli przerwa techniczna zapowiadana w naszym serwisie. W żaden sposób nie jest ona związana z problemem wykazanym przez Pana Łukasza.
Możliwe ale dziwnym zbiegiem okoliczności akurat w tym momencie została zapowiedziana.
Podsumowując, chciałbym jeszcze raz podkreślić, że twierdzenie jakoby poziom zabezpieczeń serwisu Allegro był zerowy jest nieprawdziwe. Kłopoty z zabezpieczeniami miały także inne serwisy na świecie.
Ja również chciałbym mocno podkreślić, że niestety był zerowy.
A tłumaczenie "a inni też" jest mało profesjonalne.
Patryk Tryzubiak
Zespół Allegro.pl
Chcę zgłębić tajemnice hackingu
Allegro pełne dziur! - jak to było?
Allegro milczy i zapowiada przerwę techniczną
Allegro pełne dziur!