Od wczoraj Allegro alarmuje swoich użytkowników aby zmienili hasła dostępu do swoich kont. Wszystko za sprawą błędu jaki się wdarł w webAPI. Luka, która jak przyznaje Allegro jest efektem ludzkiego błędu umożliwiała pobranie wszystkich danych każdego użytkownika, który w przeciągu ostatnich 90 dni uczestniczył w aukcji za pośrednictwem serwisu.

Błąd został wykryty przez przez jednego z użytkowników, którego zainteresowała błędna odpowiedź serwera na zadane zapytania czego efektem było wyświetlenie wszystkich danych dotyczących konkretnego konta. Istotnym problemem jest fakt, że hasło do konta przechowywane jest w niezahaszowanej postaci, a więc w czystym "stringu" co z każdą tego typu awarią podwyższa zagrożenie, że w razie wycieku nie będzie trzeba się trudzić z rozkodowanie hasła w razie gdyby wyciekło.

Dyrektor do spraw Komunikacji Korporacyjnej przyznaje, że wina leży po stronie serwisu Allegro.pl, a powodem było ludzkie niedopatrzenie. W tej chwili cała sprawa jest analizowana i sprawdzane jest ilu kont dana awaria dotyczyła. Serwis przeprasza swoich użytkowników za zainstaniałą sytuację i prosi o zmianę hasła w celu poprawienia bezpieczeństwa. Patryk Tryzubiak podreśla również, że luka została załatana, a od momentu awarii nie otrzymano żadnej informacji o tym aby ktoś niepowołany korzystał z danych użytkowników.

My jako redakcja możemy podziękować serwisowi Allegro za troskę nad swoimi użytkownikami ale mamy również dobrą radę, a możeby tak spróbować poprawić system przechowywania haseł i nie przechowywać ich w postaci niezakodowanej? O tym, że najpopularniejszy serwis aukcyjny w Polsce przechowuje hasła w "stringach" wiemy już nie od dziś gdyż cała sprawa wyszła już ponad rok temu jednak jak widać na nie wiele się zdało nagłośnienie sprawy.