Czytelnicy podsyłają nam zrzuty ekranu, na których popularny menadżer haseł 1Password zgłasza wątpliwości co do bezpieczeństwa haseł w serwisie Allegro. Komunikat programu brzmi w zależności od wersji językowej:
Naszym zdaniem hasła przechowywane przez tą stronę lub przesyłane do niej są zagrożone. Najlepiej zmień swoje hasło teraz.
lub
We believe that passwords stored by this site or transmitted to this site may have been compromised. Please update your password right away.
Ostrzeżenie 1Password
Komunikat ten ma zadanie informować użytkowników 1Password o konieczności zmiany hasła. Co dziwne, widzą go jedynie niektórzy użytkownicy i jak na razie nie udało się ustalić zależności. Biorąc pod uwagę fakt, że nie mamy żadnej wiedzy o problemach Allegro z bezpieczeństwem haseł, traktujemy to ostrzeżenie raczej jako błąd 1Password.
Komentarze
Od zmiany hasła jeszcze nikogo głowa nie zabolała :) ja zmieniam prewencyjnie, i tak nie muszę go pamiętać :D
Zapytałem 2 miesiące temu Allegro o możliwość wprowadzania 2fa. Odpowiedzieli, że pracują nad tym. Czy Z3S mogłaby podrążyć ten temat? Allegro to chyba ostatni duży serwis, który nie proponuje klientom tego rozwiązania. To poważne niedopatrzenie według mnie. Ale prośbyzzwykłych klientów chyba nie robią na nich wrażenia.
Dzięki
Dodatkowo, wymagają długiego hasła, „Na hasło najlepiej wybierz długą, trudną do odgadnięcia kombinację liter i cyfr” ale potem „Hasło nie może mieć więcej niż 16 znaków”.
Wiadomo o co chodzi.
Jest to o tyle ciekawe, że logowanie przez skrypt enter_login.php zastępowaliśmy nowym formularzem logowania w 2011 lub 2012 roku.
Więc najprawdopodobniej rzeczywiście gdzieś coś komuś wyciekło, może nawet hurtowo z jakichś danych zebranych np. phishingiem, tylko nie miało to związku z samym Allegro.
Dlaczego mam wrażenie, że Pan Tomasz Klim musi pod każdym artykułem reklamować swój serwis?
Nie muszę. Pracowałem 7 lat (bez 1 miesiąca) w Grupie Allegro, a temat dotyczy… No sam zobacz.
A że się podpisuję? Anonimowy post byłby niewiarygodny. Natomiast mój adres mailowy w domenie allegro.pl już nie działa.
Zajrzałem na tą jego stronę i wymiękłem:
„Kupiłeś na Allegro bazę maili i adresy są popsute. Co robić, jak żyć?”.
„Dzisiaj pokażemy na przykładach, w jaki sposób poprawić jakość taniej bazy adresów email”.
„Skrypt ten możesz kupić w naszym sklepie już za 50 zł”
Jeśli coś jest nie tak z tamtą ofertą, to napisz wprost – czy to tutaj, czy w komentarzu pod tamtym artykułem, czy wreszcie mailem. Konstruktywne uwagi zawsze mile widziane :)
Mozliwe, ze 1P porownuje hasla lub hasze z wczesniej liknietymi lub slabymi/kolizyjnymi i po prostu raportuje ten fakt w taki sposob userowi. Moze tez sprawdzac protokol na jakim laczy sie przegladarka po https i jak rozpozna stare SSL, to naklania do zmiany. Co jeszcze… Ruch czesciowo po http i https albo sprawdzanie CA z #czarnolisto? Nie przychodzi mi na razie nic wiecej do glowy.
Przeglądając niebezpiecznik i czytając artykuł o włamaniu do plus banku, natrafiłem na grafikę
http://niebezpiecznik.pl/wp-content/uploads/2015/06/unnamed1.png
Gdzie wyraźnie widnieje „Reklama”:
Konta Allegro – Paczki mail:pass
Szukałem tego, ale nie znalazłem (może za słabo szukałem), niemniej jednak może coś w tym jest?
Nie, to tylko oferta sprzedaży przejętych kont Allegro, do których 1Password raczej nie ma dostępu :)