szukaj

30.07.2012 | 00:03

avatar

Adam Haertle

Polskie serwisy, którym lepiej nie powierzać swoich tajnych haseł

W tym artykule opisujemy polskie serwisy, które nie przechowują Waszych haseł w bezpieczny sposób, umożliwiając włamywaczom ich poznanie. Będziemy je piętnować tak długo, aż w końcu zmienią swoje praktyki i Wasze hasła będą bezpieczniejsze.

Uwaga: czytasz wersję artykułu z roku 2012. Polecamy aktualną listę serwisów z maja 2013.

Poniżej znajdziecie dane 31 polskich serwisów, które ciągle potrafią wysłać swoim użytkownikom ich zapomniane hasła. Emailem. W jawnej formie. I mamy na to dowody.

Serwisy, które po naszej publikacji przestały wysyłać użytkownikom stare hasła otwartym tekstem to jak do tej pory: racjonalista.pl, pizzadominium.pl, monitoring.webhostingtalk.pl (wyłączony, w trakcie wprowadzania poprawek), wiadomosci24.pl, narzedzia.pl. Gratulujemy szybkiej i profesjonalnej reakcji!
W trakcie analizy okazało się, że hasło otwartym tekstem w ramach przypomnienia przesyłają sklepy oparte na silniku IAI-Shop. Nie wiemy, czy wszystkie, ale sprawdziliśmy 10 i 10 przesłało nam nasze stare hasło emailem. Sklepów opartych na IAI-Shop jest zapewne kilkaset (jeśli nie więcej), więc by nie pompować sztucznie listy, oto zgłoszone nam (i potwierdzone) przypadki: airsoftguns.pl, drumcenter.pl, ewa-michalak.pl, sklep-presto.pl, kurtmedia.pl, beateuhse.pl (więcej sklepów opartym na silniku można znaleźć tutaj).

1. plfoto.com

Największa internetowa polska galeria fotograficzna. Znajdziesz tu ponad 2 mln zdjęć i 188 tysięcy zarejestrowanych użytkowników.” I 188 tysięcy haseł (wg zapewnień plfoto.com zaszyfrowanych w sposób odwracalny).

Aktualizacja: serwis obiecał zmienić stosowane mechanizmy zabezpieczeń.

2. intercity.pl

„Mam na imię Rafał, jestem zawiadowcą tej strony. Już teraz życzę Ci udanej podróży. Jeśli mógłbym w niej jakkolwiek pomóc, jestem do Twojej dyspozycji”. Rafale, czy możesz zahashować moje hasło?

3. pizzadominium.pl

 4. trader.pl/domiporta.pl/mieszkanie.pl

„Jesteśmy jednym z kluczowych dostawców tematycznych serwisów ogłoszeniowych oraz wydawcą gazet ogłoszeniowych w kraju.” Dostarczamy także hasła użytkowników.

5. pasazer.com

„Z nami odlecisz! Tu zaczyna się Twoja podróż.” A kończy bezpieczeństwo haseł.

6. wiadomości24.pl

7. ticketpro.pl

„Twój bilet do świata rozrywki”. Niezabezpieczone hasło to niezła rozrywka.

8. snip.pl

„Snip to internetowy snajper aukcyjny. Pomoże Ci wygrać każdą licytację w Allegro i we wszystkich serwisach eBay, automatycznie, na kilka sekund przed ich zakończeniem”. Złodzieje kont Allegro będą zachwyceni!

9. racjonalista.pl

10. epuls.pl

Epuls to najlepsza na świecie internetowa społeczność młodych.” A jak ktoś ma 12 lat, to co go obchodzi bezpieczeństwo hasła.

11. nbportal.pl

„NBPortal.pl oferuje w atrakcyjnej formie wiedzę ekonomiczną zgodnie z potrzebami i oczekiwaniami młodzieży gimnazjalnej, licealnej, studentów i nauczycieli”. Wiedzy z zakresu bezpieczeństwa komputerowego jeszcze nie opanowaliśmy.

12. biegnijwarszawo.pl

„Wychodząc naprzeciw oczekiwaniom wielu z Was, postanowiliśmy uruchomić rejestrację do Biegnij Warszawo 2012 od razu po zakończeniu tegorocznej edycji imprezy„. Wyszliśmy tak daleko, że nawet nie hashujemy haseł, by było szybciej.

 

13. narzedzia.pl

 

14. monitoring.webhostingtalk.pl

15.renault.pl

Zgłosił: jabong

16. eurosportplayer.pl

Zgłosił: Hubert

17. carlsberg.pl

Zgłosił: Jan

18. alterart.pl

Zgłosił: damian

19. gazetagoleniowska.com

Zgłosił: Brutus

20. margonem.pl

Zgłosił: mohin

21. palmtopy.pl

Zgłosił: Darek

22. rejestracjadomen.pl

Zgłosił: sowiq

23. ruszajwpolske.pl

Zgłosił: radmen

24. gamepad.pl

Zgłosił: tigitall

25. 3kropki.pl

Aktualizacja 2017-02-23: 22 lutego otrzymaliśmy informację, iż metoda obsługi haseł została poprawiona i nie są one już przesyłane.

Zgłosił: Wiktor

26. zagraj.pl

Zgłosiła: Anna

27. zbiornik.com

Zgłosił: soulstorm

28. abilet.pl

Zgłosiła: Anna

29. officedepot.pl

Zgłosił: Bartek

30. browamator.pl

Zgłosił: Minder

31. podatki.biz

Zgłosił: Mateusz

Czemu nie ma na liście Allegro i Gadu Gadu?

Oba serwisy same przyznały się do trzymania haseł użytkowników w odwracalnej lub jawnej formie, jednak nie wysyłają ich już emailem (Gadu Gadu zaprzestało tego całkiem niedawno). Powyżej znajdują się tylko serwisy, które potrafią wysłać użytkownikowi jego hasło w jawnej formie.

Czy te hasła są zapisane otwartym tekstem w bazie?

Prawdopodobnie tak. Istnieją jednak inne możliwości, na przykład hasła mogą być szyfrowane algorytmem odwracalnym (symetrycznym lub asymetrycznym). Włamywacz, mający kontrolę nad serwerem, może poznać taki klucz (musi być on gdzieś przechowywany przez serwis) i odszyfrować Wasze hasła. Jeśli serwis może je Wam wysłać, to włamywacz może je poznać.

Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?

Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.

Serwis jest na Waszej liście, co robić?

Używać tam hasła, którego Wam nie szkoda. Najlepiej używać tego hasła tylko w tym serwisie – jeśli wycieknie do internetu, Wasze straty będą ograniczone tylko do tego jednego konta. Można też próbować apelować do administratorów serwisu, by zmienili sposób przechowywania haseł – a nuż się uda. Albo poczekać na włamanie z publicznym wyciekiem danych – wtedy szybko zmienią.

Jak bezpiecznie przechowywać hasła?

Podstawową metodą jest stosowanie bezpiecznej, a więc złożonej obliczeniowo, funkcji hashującej. W dzisiejszych czasach samo MD5 lub SHA1 bez soli nie wystarcza. Stosować długą, losową sól (np. 32 znaki), inną dla każdego hasła a najlepiej używać KDF (key derivation function), takich jak PBKDF2, bcrypt czy scrypt.

Powrót

Komentarze

  • avatar
    2012.07.30 00:15 Komeniusz

    Dopiszcie jeszcze linkme.pl. Administracja w odpowiedzi na zapytanie dlaczego przechowują hasło w plaintext odpisała mi, że „taki był zamysł serwisu”. Dodała też, że do bazy mają dostęp tylko 2 osoby i nie stanowi to problemu. Obiecali jednak poprawę.

    Odpowiedz
    • avatar
      2012.07.30 21:56 Adam

      Wysyłają już link do resetu hasła. Widocznie podziałało :)

      Odpowiedz
  • avatar
    2012.07.30 01:04 vipi

    viasms.pl

    Odpowiedz
    • avatar
      2012.07.30 21:57 Adam

      Czy możesz podesłać zrzut ekranu z próby odzyskania hasła? Nie chcemy brać pożyczki, żeby zweryfikować :)

      Odpowiedz
  • avatar
    2012.07.30 01:28 Darek

    Również http://www.palmtopy.pl/ gdy zapomni się hasła, śle je otwartym tekstem na maila… Miałem nieprzyjemność się o tym przekonać

    Odpowiedz
    • avatar
      2012.07.30 21:58 Adam

      Dzięki, dopisane.

      Odpowiedz
  • avatar
    2012.07.30 02:34 Fred

    Czy na zrzutach ekranu jest koszmail? Z tego, co wiem, niektóre serwisy (jak dotąd trafiałem na zagraniczne) nie pozwalają zarejestrować konta, jeśli e-mail jest u tego „dostawcy” :)

    Odpowiedz
    • avatar
      2012.07.30 21:59 Adam

      Zdarza się, ale rzadko.

      Odpowiedz
  • avatar
    2012.07.30 07:06 Jurek

    To ja dodam od siebie lubie.to.

    Odpowiedz
    • avatar
      2012.07.30 21:59 Adam

      Nie widzę możliwości rejestracji, logowanie tylko kontem Facebooka.

      Odpowiedz
  • avatar
    2012.07.30 07:17 Adam

    CentrumRowerowe.pl – najwiekszy elektroniczny sklep rowerowy w Polsce – niesamowity obrot towarem, a system internetowy wykonany przez amatora.

    Posiadam bogata korespondencje elektroniczna z supportem sklepu, a potem z samym wykonawca, ktory okazal sie byc swiadomym 'bezsensownosci utajniania hasel bo przeciez potem nie da sie tego odzyskac kiedy uzytkownik chce’. Co ciekawe nie ma tez opcji zmiany hasla, a moje maile o usuniecie konta sa ignorowane od 2 lat!

    (przepraszam za brak polskich znakow, ale moj system ich nie posiada)

    Odpowiedz
    • avatar
      2012.07.30 22:00 Adam

      Już generują nowe hasło przy próbie odzyskania starego. Podziałało :)

      Odpowiedz
    • avatar
      2012.08.02 10:34 Łukasz Krzymiński

      kurde a już miałem pisać o tym, że hasła mają otwarte ;) a co do usunięcia twojego konta z sklepu, jak by nie patrzeć sklep jest Administratorem Danych i przetwarza dane osobowe i powinieneś mieć możliwość ich aktualizowania, i RÓWNIEŻ usunięcia, jeśli nadal tego nie zrobili to jak dla mnie sprawa podpada pod zgłoszenie sprawy do GIODO

      Odpowiedz
  • avatar
    2012.07.30 07:41 jasiustasiu

    wizzair.com
    Serwis węgierski, ale sporo z nas z niego korzysta. Widzę, że szata graficzna im się ostatnio zmieniła. Może też poprawili coś z kwestii haseł, ale nie sądzę. Jeszcze niedawno przysyłali mi przypomnienie plain textem

    Odpowiedz
    • avatar
      2012.07.30 22:01 Adam

      Poprawili, generują nowe.

      Odpowiedz
  • avatar
    2012.07.30 09:06 Michał

    nets.pl

    Odpowiedz
    • avatar
      2012.07.30 22:02 Adam

      Mogę poprosić o zrzut ekranu próby odzyskania hasła? Bez zakupu usług trudno przetestować.

      Odpowiedz
  • avatar
    2012.07.30 09:16 c

    Fajna lista, ale nikomu nic nie pomoże jeśli nie będzie znana (czemu w moim małym i skromnym zakresiku postaram się zaradzić). Sugerowałbym też podesłać maila każdemu serwisowi pt. Dotarły do nas informacje, że trzymacie państwo otwartym tekstem (znowu, nic się nie zmieni, jeśli się tego komuś nie wytknie). Jeśli przypadkiem wyślecie takiego maila, to zadbajcie o słownictwo na stronie (więcej – być może, prawdopodobnie, itp).

    Co do tekstu „jeśli serwis może je wysłać, to właymwacz może je poznać” – ciut za duży ten kwantyfikator – widziałem rozwiązania, gdzie serwis może hasło wysłać, ale włamywacz musiał by przełamać bezpieczeństwo dwóch systemów, żeby się dostać do klucza 'deszyfrującego’.

    Odpowiedz
  • avatar
    2012.07.30 09:20 sowiq

    http://www.rejestracjadomen.pl – to samo. Najlepsze jest to, że po zwróceniu przeze mnie uwagi odpisali, że „hasła klientów przechowywane są w bezpieczny sposób”. Jeszcze tego samego dnia zmieniłem firmę.

    Odpowiedz
    • avatar
      2012.07.30 22:03 Adam

      Potwierdzone, dodane, dziękujemy.

      Odpowiedz
  • avatar
    2012.07.30 10:03 Arek

    jakiś czas temu (tj. kilka lat temu) az.pl przechowywało hasła otwartym tekstem, skacząc po ustawieniach w panelu udało mi się zobaczyć swoje hasło, napisane otwartym tekstem…

    Odpowiedz
  • avatar
    2012.07.30 10:07 Brutus

    http://goleniowska.com, tez plain text

    Odpowiedz
    • avatar
      2012.07.30 22:04 Adam

      Potwierdzone, dodane, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 10:08 radmen

    http://ruszajwpolske.pl/

    Swego czasu otrzymałem swoje hasło na maila. Kontaktowałem się z adminami. Twierdzą, że hasła są bezpieczne, bo „szyfrowane dwoma kluczami” (czyli jest to proces odwracalny).

    Odpowiedz
    • avatar
      2012.07.30 22:04 Adam

      Zgadza się, dopisane, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 10:17 moi

    sklep ewa-michalak.pl
    sklep fionka.pl
    komputronik.pl (nie wiem, czy nadal ;)
    swiatkotow.pl
    wydawnictwo.oxford.pl

    kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem

    Odpowiedz
    • avatar
      2012.07.30 12:32 Majchał

      „kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem”
      to nic nie znaczy, hasło może zostać wysłane zanim zostanie zaszyfrowane i dodane do bazy

      Odpowiedz
    • avatar
      2012.07.30 22:06 Adam

      Potwierdzone ewa-michalak.pl, dzięki!
      fionka.pl – wysyła link do resetu hasła.
      komputronik.pl – generuje nowe hasło.
      swiatkotow.pl – generuje nowe hasło.
      wydawnictwo.oxford.pl – generuje nowe hasło.

      Odpowiedz
    • avatar
      2012.07.30 22:07 Adam

      Potwierdzone, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 11:12 jabong

    http://www.renault.pl/my-renault/ taka firma, a security brak ;)

    Odpowiedz
    • avatar
      2012.07.30 22:07 Adam

      Niezłe trafienie, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 12:26 Jakub

    Mam kilka serwisów, przez które na własnej skórze dowiedziałem się o niekodowaniu przez nich haseł ;)
    EduQrsor.pl – screenshot: http://screenshooter.net/data/uploads/fj/kd/ojsu.png
    Ogame.pl – http://screenshooter.net/data/uploads/wy/oc/esyu.png
    Loteriada.pl – http://screenshooter.net/data/uploads/ir/jb/sgmw.png
    Ugu.pl – http://screenshooter.net/data/uploads/ru/nk/jvih.png
    KontaGier.pl – http://screenshooter.net/data/uploads/wl/qo/ixje.png

    Pozdrawiam,
    Jakub.

    Odpowiedz
    • avatar
      2012.07.30 22:08 Adam

      Linki „nie do końca działają”, poza tym wygląda na to, że te serwisy wysyłają hasło tylko w momencie rejestracji, a nie próby odzyskania hasła.

      Odpowiedz
  • avatar
    2012.07.30 12:45 Sir_Marco

    Skąd wiadomo, że faktycznie przechowują hasła otwartym tekstem? Może zamiast je hashować zwyczajnie je szyfrują, a potem deszyfrują na żądanie?

    Odpowiedz
    • avatar
      2012.07.30 22:10 Adam

      Słuszna uwaga, poprawione.

      Odpowiedz
  • avatar
    2012.07.30 12:46 Mohin

    http://margonem.pl również ;)

    Odpowiedz
    • avatar
      2012.07.30 22:11 Adam

      Dodane, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 13:03 Alsan

    Potencjalnie, serwisy, ktore wymagaja hasla o predefiniowanych parametrach, przechowuja hasla w „czystym tekscie”. Lepiej miec to na uwadze.

    Odpowiedz
  • avatar
    2012.07.30 13:48 Jan

    strona carlsberga również przypomina hasło w ten sposób

    Odpowiedz
    • avatar
      2012.07.30 22:12 Adam

      Dopisane do listy, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 13:58 Tomasz Kowalski

    Dziękuję za zwrócenie uwagi. Działamy.

    Odpowiedz
  • avatar
    2012.07.30 13:59 Komeniusz

    LinkMe.pl – Duży system wymiany linków. Trzymają hasła w czystym tekście.

    Odpowiedz
  • avatar
    2012.07.30 13:59 Hubert

    eurosportplayer.pl

    Odpowiedz
    • avatar
      2012.07.30 22:12 Adam

      Dopisane do spisu, dzięki!

      Odpowiedz
  • avatar
    2012.07.30 16:10 torus

    http://www.infinitebattle.com -> w sumie za każdym razem generują nowe wiec jest ok (chyba)?

    Odpowiedz
    • avatar
      2012.07.30 22:13 Adam

      Jeśli generują nowe, to prawdopodobnie problem nie występuje.

      Odpowiedz
  • avatar
    2012.07.30 16:11 terefere

    gadu-gadu, allegro :)

    Odpowiedz
    • avatar
      2012.07.30 22:20 Adam

      Nie wysyłają hasła emailem :)

      Odpowiedz
      • avatar
        2012.07.31 09:56 terefere

        gadu wysyla, a przynajmniej robilo tak jakis czas temu. Sprobuj napisac do nich ze nie pamietasz hasla do swojego numeru, pozniej dostaniesz dziesiec pytan na ktore musisz odpowiedziec. Jak zweryfikuja to odesla ci swoje haslo. true.

        Odpowiedz
  • avatar
    2012.07.30 17:28 kaktus

    A jeśli takie hasło w bazie jest w jakiś sposób szyfrowane i przy wysyłaniu maila odkodowywane? Czym się więc różni wysłanie jawnego hasła od np. przysłania linku do resetu hasła, który nie traci na ważności? Przechwycenie takiego linku jest równie proste jak przechwycenie przesłanego hasła.

    Odpowiedz
    • avatar
      2012.07.30 22:15 Adam

      Link do resetu hasła nie pozwoli na zalogowanie się tym samym hasłem np. na skrzynkę pocztową użytkownika.

      Odpowiedz
  • avatar
    2012.07.30 18:30 terefer

    hbogo.pl – Serwis VOD HBO

    Odpowiedz
    • avatar
      2012.07.30 22:16 Adam

      Czy mozemy poprosić o zrzut ekranu próby ozdyskania hasła? Niestety usługa wymaga zakupu przed przetestowaniem mechanizmów bezpieczeństwa :)

      Odpowiedz
  • avatar
    2012.07.30 18:53 Anton

    Całe szczęście ze to nie banki, mam konto na plfoto i nie przejmuje sie tym że ktos pozna moje hasło, zdjecie mi skasuje czy doda własne?

    Odpowiedz
    • avatar
      2012.07.30 22:16 Adam

      O ile nie korzystasz z tego samego hasła w innych miejscach, to nie ma problemu.

      Odpowiedz
  • avatar
    2012.07.30 23:17 tigitall

    od siebie dodam gamepad.pl ostatnio próbowałem odzyskać tam hasło i się mocno zdziwiłem, że wysłali mi je na maila.

    Odpowiedz
    • avatar
      2012.07.30 23:26 Adam

      Dzięki, dodane.

      Odpowiedz
  • avatar
    2012.07.30 23:40 anonim

    andegrand.pl

    Odpowiedz
    • avatar
      2012.07.30 23:52 Adam

      Nam wysłali nowe hasło, więc nie potwierdzamy.

      Odpowiedz
  • avatar
    2012.07.30 23:49 Robert

    Dodam jeszcze drumcenter.pl. Nie dość że hasła trzymane w jawnym tekście to jeszcze wysyłane w kopercie razem z fakturą. Tragedia.

    Odpowiedz
  • avatar
    2012.07.31 10:59 Voyager

    Trochę na lista nieaktualna, z tego co widzę racjonalista.pl już nie przypomina haseł tylko resetuje.
    Poza tym, po samym mechanizmie resetowania nie możecie wiedzieć jak są zabezpieczone, dużo ważniejsza jest np. ochrona emaila i nazwiska.

    Odpowiedz
  • avatar
    2012.07.31 11:56 Arkadiusz

    Dzień dobry, chciałem poinformować, że zmieniliśmy system zamówień online. Proszę o sprawdzenie i usunięcie wpisu na temat bezpiecznego hasła.
    pozdrawiam serdecznie Arkadiusz Kośliński

    Odpowiedz
  • avatar
    2012.07.31 15:03 Bartek

    Monitoring.webhostingtalk.pl jest zewnętrzną usługą, do czasu poprawy została wyłączona (zmieniony wpis A w DNS, co troszkę potrwa).

    Odpowiedz
    • avatar
      2012.07.31 21:54 Mariusz

      loteriada.pl

      Odpowiedz
      • avatar
        2012.07.31 23:40 Adam

        Gdzie na loteriada.pl jest funkcja przypominania hasła?

        Odpowiedz
  • avatar
    2012.08.01 00:15 f2xed

    safegroup.pl

    Odpowiedz
    • avatar
      2012.08.01 16:41 Adam

      phpbb chyba nie wysyła starego hasła.

      Odpowiedz
    • avatar
      2012.08.01 16:50 Imie

      SafeGroup od zawsze trzyma hasła hashowane, tym bardziej, że forum jest na silniku phpbb3, a witryna na WordPressie.

      Odpowiedz
  • avatar
    2012.08.01 08:12 deco

    korim.pl też wysyła hasło mailem po rejestracji

    Odpowiedz
    • avatar
      2012.08.01 16:40 Adam

      Ale nie wysyła przypomnienia hasła.

      Odpowiedz
      • avatar
        2012.08.04 16:00 deco

        A to różnica czy wysyłają otwartym tekstem stare hasło czy otwartym tekstem wysyłają nowo wygenerowane?

        Odpowiedz
  • avatar
    2012.08.01 13:54 Krzysiek

    Krajowy Rejestr Długów Biuro Informacji Gospodarczej SA

    http://www.krd.pl

    Odpowiedz
    • avatar
      2012.08.01 16:35 Adam

      KRD generuje obecnie nowe hasło.

      Odpowiedz
  • avatar
    2012.08.03 19:56 Henry

    Do bazy warto dodac CBA.PL. Hosting niby dziala dosc bezproblemowo [pomijajac nieaktualne oprogramowanie, wpychajace sie wszedzie reklamy i stare wersje SQL – a wiec zaproszenie do wyhaczania], jednakze same hasla dostaje sie w razie prosby w czystym tekscie.

    Odpowiedz
    • avatar
      2012.08.04 11:01 Adam

      Nam cba.pl wygenerowało nowe hasło, więc nie potwierdzamy

      Odpowiedz
  • avatar
    2012.08.03 20:20 Tomek

    Po kliknięciu w Przypomnienie hasła, przysłali je plain-textem na email.

    Odpowiedz
    • avatar
      2012.08.03 21:33 Adam

      kurtmedia.pl dodane, kolejny sklep IAI

      Odpowiedz
  • avatar
    2012.08.03 20:32 Bartek

    Office Depot (www.officedepot.pl) :-)

    Odpowiedz
    • avatar
      2012.08.03 21:33 Adam

      Świetny strzał, dodane! Na dokładkę ograniczają hasło do 10 znaków i zamieniają wszystkie litery na duże :)

      Odpowiedz
  • avatar
    2012.08.03 20:50 Paweł

    To i ja dopiszę jedną sztukę.

    https://bilet.intercity.pl/irez/

    Przypomnienie hasła przysyła je do nas mailem w czystym tekście.. Wstyd.

    Odpowiedz
    • avatar
      2012.08.03 21:29 Adam

      Mają pozycję nr 2 od początku istnienia listy :)

      Odpowiedz
      • avatar
        2012.08.27 11:14 m4sh

        I niestety nadal się nic w tej kwestii nie zmieniło :(

        Odpowiedz
  • avatar
    2012.08.03 21:20 Minder

    browamator.pl – sklep dla piwowarów domowych

    Odpowiedz
    • avatar
      2012.08.03 21:42 Adam

      Potwierdzone, dodane.

      Odpowiedz
  • avatar
    2012.08.04 08:24 Minder

    Akcja szalenie ważna, choć ten post można by wręcz nazwać „strzelnica” – crackerzy dostają na tacy listę następnych celów :P Ludzie, zmieniajcie hasła!

    Odpowiedz
  • avatar
    2012.08.04 12:15 Szymon

    http://www.beateuhse.pl – po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem

    Odpowiedz
    • avatar
      2012.08.04 21:51 Adam

      Kolejny sklep na silniku IAI-Shop, potwierdzone.

      Odpowiedz
  • avatar
    2012.08.04 22:53 Łukasz

    cinkciarz.pl

    Odpowiedz
  • avatar
    2012.08.08 14:27 Robert

    Zobaczcie jak robi to Generalny Inspektor Ochrony Danych Osobowych w portalu e-GIODO :)
    http://www.facebook.com/Barometrbiznesu#!/Barometrbiznesu

    Odpowiedz
  • avatar
    2012.08.09 02:00 Piotrek Odpowiedz
    • avatar
      2012.08.09 09:26 Adam

      Nam Adecco wygenerowało nowe hasło, nie potwierdzamy.

      Odpowiedz
  • avatar
    2012.08.21 10:19 Mariusz

    http://www.sms.pl

    Nie dość, że otwartym tekstem, to obcinają hasła do 10 znaków przy rejestracji…

    Odpowiedz
  • avatar
    2012.08.29 13:46 Tomek

    http://sportbazar.pl – bezpieczne zakupy

    Odpowiedz
  • avatar
    2012.10.02 13:17 donosiciel ;)

    „Ta wiadomość została wygenerowana automatycznie. Nie odpowiadaj na tą wiadomość.
    Jeżeli chcesz się z nami skontaktować użyj formularza w zakładce Kontakt http://www.streetcom.pl/kontakt

    Drogi(a) ,
    Dla tego konta zażądano przypomnienia hasła, umożliwiającego dostęp do witryny internetowej Streetcom Polska Sp. z o. o..
    Następnym razem proszę zalogować się, wykorzystując następujące informacje:
    Adres witryny: http://www.streetcom.pl
    Nazwa użytkownika: mój login
    Hasło: hasło otwartym tekstem
    Kod weryfikacji: jakieś cyferki
    Użytkownik autoryzowany (true=TAK, false=NIE): któraś z opcji
    Pozdrowienia,
    Streetcom Polska Sp. z o. o.
    *UWAGA: Jeśli nie żądano przypomnienia hasła (zrobił to ktoś inny), proszę zignorować i zniszczyć tę wiadomość.”

    niszczą, haha

    Odpowiedz
  • avatar
    2012.11.30 13:10 Piotr

    http://www.decathlon.pl uruchomił możliwość zakupów online, szkoda tylko, że prawdopodobnie nie hashuje haseł swoich użytkowników. Po rejestracji otrzymujemy maila z potwierdzeniem oraz hasłem zapisanym jawnym tekstem.

    Odpowiedz
  • avatar
    2013.05.28 11:58 Greg

    LekkiKoszyk.pl, przesyłają hasło emailem.

    Odpowiedz
    • avatar
      2013.05.28 14:23 Adam

      Przy zmianie hasła wysyłają link. Nie potwierdzamy.

      Odpowiedz
  • avatar
    2013.07.30 11:53 jano

    https://safegroup.pl – nie ma szyfrowanych haseł , przesyła je w sposób jawny cały czas.
    Sprawdzone kilka dni temu i Imie – jesteś w błędzie i podajesz złe informacje.

    http://imgur.com/jtdBdaB

    Odpowiedz
    • avatar
      2013.07.30 12:31 Adam

      Safegroup.pl nie wysyła Twojego osobistego hasła, ustawionego przez Ciebie, tylko hasło wygenerowane losowo – i ta praktyka jest akceptowalna, ponieważ najczęściej (i tak jest w tym wypadku) oznacza, że hasła w bazie są haszowane.

      Aktualizacja: Jak się okazuje, chodziło o email wysyłany przy rejestracji nowego konta – co nie stanowi żadnej przesłanki co do nieprawidłowości – tak po prostu działają domyślnie niektóre silniku forum, przechowujące potem hasła w bezpiecznej formie.

      Odpowiedz
  • avatar
    2013.07.30 22:22 Jano

    Właśnie http://www.safegroup.pl wysyła dokładnie takie samo hasło jakie ustaliłem przy rejestracji i nic nie zmienia w tym temacie i nie wysyła żadnego losowo. – najpierw to sprawdziłem zanim dodałem takie info tutaj – robisz ze mnie idiotę. A co do bazy – zawsze są haszowane w niej nawet jeśli dostaniesz na skrzynkę hasło jawnie przesłane i to nie ma nic do rzeczy. Proszę nie wciskać kitu Adam a sprawdzić dokładnie a nie udawać że nic nie ma na rzeczy , forum o bezpieczeństwie a tu takie kwiatki – nieładnie, i jeszcze kłamiesz na dodatek nie wiem dlaczego i po co ? Jesteś tam w administracji? To powiadom o błędzie.

    Więc proszę umieścić ten serwis jako niezaufany.

    Odpowiedz
    • avatar
      2013.07.31 07:42 Adam

      Nie, nie jestem tam w administracji.

      Przeczytaj w takim razie poniższy akapit, który specjalnie dla Ciebie przeklejam z artykułu z góry.

      ===

      Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?

      Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.

      ===

      Forum safegroup oparte jest na silniku, który haszuje hasła w bazie. A że wysyła hasło przy rejestracji – nie stoi to na przeszkodzie jego haszowania. W tym artykule wymieniamy tylko serwisy, które przechowują hasła w bazie w formie odwracalnej i umożliwiają ich odzyskanie użytkownikowi. Jeśli możesz (NIE PRZY REJESTRACJI) odzyskać swoje hasło z forum, to daj znać.

      Odpowiedz
  • avatar
    2013.11.05 21:04 burb boy

    STAMAR Poznań
    http://www.stamarpoznan.pl/

    Dostałem własne hasło cleartextem po rejestracji.

    Odpowiedz
  • avatar
    2014.01.30 14:48 Tomasz

    firma hostingowa (!!!) Adweb (nadawca: [email protected]) wysłała mi dzisiaj mejla następującej treści:

    Twoje hasło dla konta 'mojlogin’ to 'mojehaslo’

    Pamietaj, ze przesylanie hasel poczta elektroniczna nie jest w pelni bezpieczne. Zaloguj sie do panelu administracyjnego i zmien je jak najszybciej. Lepiej dmuchac na zimne. Panel jest dostępny pod adresem: https://panel.2be.pl/beeadmin/ W razie problemow z logowaniem, prosimy o kontakt z naszym administratorem pod adresem [email protected].

    Brak mi parlamentarnych słów na takie praktyki. Bezczelne wymuszanie zmiany hasła przez wysłanie go otwartym tekstem razem z loginem!! Zmieniam dostawcę ale proszę ostrzec ludzi.

    Odpowiedz
  • avatar
    2016.02.29 19:56 Piotr

    Zarejestrowałem sie kiedyś na http://www.omegajantar.pl po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem

    Odpowiedz
  • avatar
    2017.02.16 13:44 lolek

    Tymczasem ja mam bekę z pesudoeksperów. Solenie haseł przy przechowywaniu ich w cookies nic nie daje, po za tym, że piana schodzi z ust hakerskiej gimbazie.

    Odpowiedz
  • avatar
    2020.06.22 21:57 Pio

    Sklep z artykułami medycznymi novamed.pl wysyła hasło mailem w plaintext po rejestracji

    Odpowiedz
  • avatar
    2023.11.05 20:14 Sebek

    Sklep erowery.pl – po rejestracji wysyłają hasło otwartym tekstem wraz z loginem w mailu. Ponadto mają ograniczenia co do możliwości użycia znaków specjalnych w haśle. Bardzo proszę o zwrócenie uwagi.

    Odpowiedz

Zostaw odpowiedź do Bartek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polskie serwisy, którym lepiej nie powierzać swoich tajnych haseł

Komentarze