30.07.2012 | 00:03

Adam Haertle

Polskie serwisy, którym lepiej nie powierzać swoich tajnych haseł

W tym artykule opisujemy polskie serwisy, które nie przechowują Waszych haseł w bezpieczny sposób, umożliwiając włamywaczom ich poznanie. Będziemy je piętnować tak długo, aż w końcu zmienią swoje praktyki i Wasze hasła będą bezpieczniejsze.

Uwaga: czytasz wersję artykułu z roku 2012. Polecamy aktualną listę serwisów z maja 2013.

Poniżej znajdziecie dane 31 polskich serwisów, które ciągle potrafią wysłać swoim użytkownikom ich zapomniane hasła. Emailem. W jawnej formie. I mamy na to dowody.

Serwisy, które po naszej publikacji przestały wysyłać użytkownikom stare hasła otwartym tekstem to jak do tej pory: racjonalista.pl, pizzadominium.pl, monitoring.webhostingtalk.pl (wyłączony, w trakcie wprowadzania poprawek), wiadomosci24.pl, narzedzia.pl. Gratulujemy szybkiej i profesjonalnej reakcji!
W trakcie analizy okazało się, że hasło otwartym tekstem w ramach przypomnienia przesyłają sklepy oparte na silniku IAI-Shop. Nie wiemy, czy wszystkie, ale sprawdziliśmy 10 i 10 przesłało nam nasze stare hasło emailem. Sklepów opartych na IAI-Shop jest zapewne kilkaset (jeśli nie więcej), więc by nie pompować sztucznie listy, oto zgłoszone nam (i potwierdzone) przypadki: airsoftguns.pl, drumcenter.pl, ewa-michalak.pl, sklep-presto.pl, kurtmedia.pl, beateuhse.pl (więcej sklepów opartym na silniku można znaleźć tutaj).

1. plfoto.com

Największa internetowa polska galeria fotograficzna. Znajdziesz tu ponad 2 mln zdjęć i 188 tysięcy zarejestrowanych użytkowników.” I 188 tysięcy haseł (wg zapewnień plfoto.com zaszyfrowanych w sposób odwracalny).

Aktualizacja: serwis obiecał zmienić stosowane mechanizmy zabezpieczeń.

2. intercity.pl

„Mam na imię Rafał, jestem zawiadowcą tej strony. Już teraz życzę Ci udanej podróży. Jeśli mógłbym w niej jakkolwiek pomóc, jestem do Twojej dyspozycji”. Rafale, czy możesz zahashować moje hasło?

3. pizzadominium.pl

 4. trader.pl/domiporta.pl/mieszkanie.pl

„Jesteśmy jednym z kluczowych dostawców tematycznych serwisów ogłoszeniowych oraz wydawcą gazet ogłoszeniowych w kraju.” Dostarczamy także hasła użytkowników.

5. pasazer.com

„Z nami odlecisz! Tu zaczyna się Twoja podróż.” A kończy bezpieczeństwo haseł.

6. wiadomości24.pl

7. ticketpro.pl

„Twój bilet do świata rozrywki”. Niezabezpieczone hasło to niezła rozrywka.

8. snip.pl

„Snip to internetowy snajper aukcyjny. Pomoże Ci wygrać każdą licytację w Allegro i we wszystkich serwisach eBay, automatycznie, na kilka sekund przed ich zakończeniem”. Złodzieje kont Allegro będą zachwyceni!

9. racjonalista.pl

10. epuls.pl

Epuls to najlepsza na świecie internetowa społeczność młodych.” A jak ktoś ma 12 lat, to co go obchodzi bezpieczeństwo hasła.

11. nbportal.pl

„NBPortal.pl oferuje w atrakcyjnej formie wiedzę ekonomiczną zgodnie z potrzebami i oczekiwaniami młodzieży gimnazjalnej, licealnej, studentów i nauczycieli”. Wiedzy z zakresu bezpieczeństwa komputerowego jeszcze nie opanowaliśmy.

12. biegnijwarszawo.pl

„Wychodząc naprzeciw oczekiwaniom wielu z Was, postanowiliśmy uruchomić rejestrację do Biegnij Warszawo 2012 od razu po zakończeniu tegorocznej edycji imprezy„. Wyszliśmy tak daleko, że nawet nie hashujemy haseł, by było szybciej.

 

13. narzedzia.pl

 

14. monitoring.webhostingtalk.pl

15.renault.pl

Zgłosił: jabong

16. eurosportplayer.pl

Zgłosił: Hubert

17. carlsberg.pl

Zgłosił: Jan

18. alterart.pl

Zgłosił: damian

19. gazetagoleniowska.com

Zgłosił: Brutus

20. margonem.pl

Zgłosił: mohin

21. palmtopy.pl

Zgłosił: Darek

22. rejestracjadomen.pl

Zgłosił: sowiq

23. ruszajwpolske.pl

Zgłosił: radmen

24. gamepad.pl

Zgłosił: tigitall

25. 3kropki.pl

Aktualizacja 2017-02-23: 22 lutego otrzymaliśmy informację, iż metoda obsługi haseł została poprawiona i nie są one już przesyłane.

Zgłosił: Wiktor

26. zagraj.pl

Zgłosiła: Anna

27. zbiornik.com

Zgłosił: soulstorm

28. abilet.pl

Zgłosiła: Anna

29. officedepot.pl

Zgłosił: Bartek

30. browamator.pl

Zgłosił: Minder

31. podatki.biz

Zgłosił: Mateusz

Czemu nie ma na liście Allegro i Gadu Gadu?

Oba serwisy same przyznały się do trzymania haseł użytkowników w odwracalnej lub jawnej formie, jednak nie wysyłają ich już emailem (Gadu Gadu zaprzestało tego całkiem niedawno). Powyżej znajdują się tylko serwisy, które potrafią wysłać użytkownikowi jego hasło w jawnej formie.

Czy te hasła są zapisane otwartym tekstem w bazie?

Prawdopodobnie tak. Istnieją jednak inne możliwości, na przykład hasła mogą być szyfrowane algorytmem odwracalnym (symetrycznym lub asymetrycznym). Włamywacz, mający kontrolę nad serwerem, może poznać taki klucz (musi być on gdzieś przechowywany przez serwis) i odszyfrować Wasze hasła. Jeśli serwis może je Wam wysłać, to włamywacz może je poznać.

Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?

Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.

Serwis jest na Waszej liście, co robić?

Używać tam hasła, którego Wam nie szkoda. Najlepiej używać tego hasła tylko w tym serwisie – jeśli wycieknie do internetu, Wasze straty będą ograniczone tylko do tego jednego konta. Można też próbować apelować do administratorów serwisu, by zmienili sposób przechowywania haseł – a nuż się uda. Albo poczekać na włamanie z publicznym wyciekiem danych – wtedy szybko zmienią.

Jak bezpiecznie przechowywać hasła?

Podstawową metodą jest stosowanie bezpiecznej, a więc złożonej obliczeniowo, funkcji hashującej. W dzisiejszych czasach samo MD5 lub SHA1 bez soli nie wystarcza. Stosować długą, losową sól (np. 32 znaki), inną dla każdego hasła a najlepiej używać KDF (key derivation function), takich jak PBKDF2, bcrypt czy scrypt.

Powrót

Komentarze

  • 2012.07.30 00:15 Komeniusz

    Dopiszcie jeszcze linkme.pl. Administracja w odpowiedzi na zapytanie dlaczego przechowują hasło w plaintext odpisała mi, że „taki był zamysł serwisu”. Dodała też, że do bazy mają dostęp tylko 2 osoby i nie stanowi to problemu. Obiecali jednak poprawę.

    Odpowiedz
    • 2012.07.30 21:56 Adam

      Wysyłają już link do resetu hasła. Widocznie podziałało :)

      Odpowiedz
  • 2012.07.30 01:04 vipi

    viasms.pl

    Odpowiedz
    • 2012.07.30 21:57 Adam

      Czy możesz podesłać zrzut ekranu z próby odzyskania hasła? Nie chcemy brać pożyczki, żeby zweryfikować :)

      Odpowiedz
  • 2012.07.30 01:28 Darek

    Również http://www.palmtopy.pl/ gdy zapomni się hasła, śle je otwartym tekstem na maila… Miałem nieprzyjemność się o tym przekonać

    Odpowiedz
    • 2012.07.30 21:58 Adam

      Dzięki, dopisane.

      Odpowiedz
  • 2012.07.30 02:34 Fred

    Czy na zrzutach ekranu jest koszmail? Z tego, co wiem, niektóre serwisy (jak dotąd trafiałem na zagraniczne) nie pozwalają zarejestrować konta, jeśli e-mail jest u tego „dostawcy” :)

    Odpowiedz
    • 2012.07.30 21:59 Adam

      Zdarza się, ale rzadko.

      Odpowiedz
  • 2012.07.30 07:06 Jurek

    To ja dodam od siebie lubie.to.

    Odpowiedz
    • 2012.07.30 21:59 Adam

      Nie widzę możliwości rejestracji, logowanie tylko kontem Facebooka.

      Odpowiedz
  • 2012.07.30 07:17 Adam

    CentrumRowerowe.pl – najwiekszy elektroniczny sklep rowerowy w Polsce – niesamowity obrot towarem, a system internetowy wykonany przez amatora.

    Posiadam bogata korespondencje elektroniczna z supportem sklepu, a potem z samym wykonawca, ktory okazal sie byc swiadomym 'bezsensownosci utajniania hasel bo przeciez potem nie da sie tego odzyskac kiedy uzytkownik chce’. Co ciekawe nie ma tez opcji zmiany hasla, a moje maile o usuniecie konta sa ignorowane od 2 lat!

    (przepraszam za brak polskich znakow, ale moj system ich nie posiada)

    Odpowiedz
    • 2012.07.30 22:00 Adam

      Już generują nowe hasło przy próbie odzyskania starego. Podziałało :)

      Odpowiedz
    • 2012.08.02 10:34 Łukasz Krzymiński

      kurde a już miałem pisać o tym, że hasła mają otwarte ;) a co do usunięcia twojego konta z sklepu, jak by nie patrzeć sklep jest Administratorem Danych i przetwarza dane osobowe i powinieneś mieć możliwość ich aktualizowania, i RÓWNIEŻ usunięcia, jeśli nadal tego nie zrobili to jak dla mnie sprawa podpada pod zgłoszenie sprawy do GIODO

      Odpowiedz
  • 2012.07.30 07:41 jasiustasiu

    wizzair.com
    Serwis węgierski, ale sporo z nas z niego korzysta. Widzę, że szata graficzna im się ostatnio zmieniła. Może też poprawili coś z kwestii haseł, ale nie sądzę. Jeszcze niedawno przysyłali mi przypomnienie plain textem

    Odpowiedz
    • 2012.07.30 22:01 Adam

      Poprawili, generują nowe.

      Odpowiedz
  • 2012.07.30 09:06 Michał

    nets.pl

    Odpowiedz
    • 2012.07.30 22:02 Adam

      Mogę poprosić o zrzut ekranu próby odzyskania hasła? Bez zakupu usług trudno przetestować.

      Odpowiedz
  • 2012.07.30 09:16 c

    Fajna lista, ale nikomu nic nie pomoże jeśli nie będzie znana (czemu w moim małym i skromnym zakresiku postaram się zaradzić). Sugerowałbym też podesłać maila każdemu serwisowi pt. Dotarły do nas informacje, że trzymacie państwo otwartym tekstem (znowu, nic się nie zmieni, jeśli się tego komuś nie wytknie). Jeśli przypadkiem wyślecie takiego maila, to zadbajcie o słownictwo na stronie (więcej – być może, prawdopodobnie, itp).

    Co do tekstu „jeśli serwis może je wysłać, to właymwacz może je poznać” – ciut za duży ten kwantyfikator – widziałem rozwiązania, gdzie serwis może hasło wysłać, ale włamywacz musiał by przełamać bezpieczeństwo dwóch systemów, żeby się dostać do klucza 'deszyfrującego’.

    Odpowiedz
  • 2012.07.30 09:20 sowiq

    http://www.rejestracjadomen.pl – to samo. Najlepsze jest to, że po zwróceniu przeze mnie uwagi odpisali, że „hasła klientów przechowywane są w bezpieczny sposób”. Jeszcze tego samego dnia zmieniłem firmę.

    Odpowiedz
    • 2012.07.30 22:03 Adam

      Potwierdzone, dodane, dziękujemy.

      Odpowiedz
  • 2012.07.30 10:03 Arek

    jakiś czas temu (tj. kilka lat temu) az.pl przechowywało hasła otwartym tekstem, skacząc po ustawieniach w panelu udało mi się zobaczyć swoje hasło, napisane otwartym tekstem…

    Odpowiedz
  • 2012.07.30 10:07 Brutus

    http://goleniowska.com, tez plain text

    Odpowiedz
    • 2012.07.30 22:04 Adam

      Potwierdzone, dodane, dzięki!

      Odpowiedz
  • 2012.07.30 10:08 radmen

    http://ruszajwpolske.pl/

    Swego czasu otrzymałem swoje hasło na maila. Kontaktowałem się z adminami. Twierdzą, że hasła są bezpieczne, bo „szyfrowane dwoma kluczami” (czyli jest to proces odwracalny).

    Odpowiedz
    • 2012.07.30 22:04 Adam

      Zgadza się, dopisane, dzięki!

      Odpowiedz
  • 2012.07.30 10:17 moi

    sklep ewa-michalak.pl
    sklep fionka.pl
    komputronik.pl (nie wiem, czy nadal ;)
    swiatkotow.pl
    wydawnictwo.oxford.pl

    kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem

    Odpowiedz
    • 2012.07.30 12:32 Majchał

      „kiedy logowałam się do tych serwisów, to wysyłali mi moje hasło otwartym tekstem”
      to nic nie znaczy, hasło może zostać wysłane zanim zostanie zaszyfrowane i dodane do bazy

      Odpowiedz
    • 2012.07.30 22:06 Adam

      Potwierdzone ewa-michalak.pl, dzięki!
      fionka.pl – wysyła link do resetu hasła.
      komputronik.pl – generuje nowe hasło.
      swiatkotow.pl – generuje nowe hasło.
      wydawnictwo.oxford.pl – generuje nowe hasło.

      Odpowiedz
    • 2012.07.30 22:07 Adam

      Potwierdzone, dzięki!

      Odpowiedz
  • 2012.07.30 11:12 jabong

    http://www.renault.pl/my-renault/ taka firma, a security brak ;)

    Odpowiedz
    • 2012.07.30 22:07 Adam

      Niezłe trafienie, dzięki!

      Odpowiedz
  • 2012.07.30 12:26 Jakub

    Mam kilka serwisów, przez które na własnej skórze dowiedziałem się o niekodowaniu przez nich haseł ;)
    EduQrsor.pl – screenshot: http://screenshooter.net/data/uploads/fj/kd/ojsu.png
    Ogame.pl – http://screenshooter.net/data/uploads/wy/oc/esyu.png
    Loteriada.pl – http://screenshooter.net/data/uploads/ir/jb/sgmw.png
    Ugu.pl – http://screenshooter.net/data/uploads/ru/nk/jvih.png
    KontaGier.pl – http://screenshooter.net/data/uploads/wl/qo/ixje.png

    Pozdrawiam,
    Jakub.

    Odpowiedz
    • 2012.07.30 22:08 Adam

      Linki „nie do końca działają”, poza tym wygląda na to, że te serwisy wysyłają hasło tylko w momencie rejestracji, a nie próby odzyskania hasła.

      Odpowiedz
  • 2012.07.30 12:45 Sir_Marco

    Skąd wiadomo, że faktycznie przechowują hasła otwartym tekstem? Może zamiast je hashować zwyczajnie je szyfrują, a potem deszyfrują na żądanie?

    Odpowiedz
    • 2012.07.30 22:10 Adam

      Słuszna uwaga, poprawione.

      Odpowiedz
  • 2012.07.30 12:46 Mohin

    http://margonem.pl również ;)

    Odpowiedz
    • 2012.07.30 22:11 Adam

      Dodane, dzięki!

      Odpowiedz
  • 2012.07.30 13:03 Alsan

    Potencjalnie, serwisy, ktore wymagaja hasla o predefiniowanych parametrach, przechowuja hasla w „czystym tekscie”. Lepiej miec to na uwadze.

    Odpowiedz
  • 2012.07.30 13:48 Jan

    strona carlsberga również przypomina hasło w ten sposób

    Odpowiedz
    • 2012.07.30 22:12 Adam

      Dopisane do listy, dzięki!

      Odpowiedz
  • 2012.07.30 13:58 Tomasz Kowalski

    Dziękuję za zwrócenie uwagi. Działamy.

    Odpowiedz
  • 2012.07.30 13:59 Komeniusz

    LinkMe.pl – Duży system wymiany linków. Trzymają hasła w czystym tekście.

    Odpowiedz
  • 2012.07.30 13:59 Hubert

    eurosportplayer.pl

    Odpowiedz
    • 2012.07.30 22:12 Adam

      Dopisane do spisu, dzięki!

      Odpowiedz
  • 2012.07.30 16:10 torus

    http://www.infinitebattle.com -> w sumie za każdym razem generują nowe wiec jest ok (chyba)?

    Odpowiedz
    • 2012.07.30 22:13 Adam

      Jeśli generują nowe, to prawdopodobnie problem nie występuje.

      Odpowiedz
  • 2012.07.30 16:11 terefere

    gadu-gadu, allegro :)

    Odpowiedz
    • 2012.07.30 22:20 Adam

      Nie wysyłają hasła emailem :)

      Odpowiedz
      • 2012.07.31 09:56 terefere

        gadu wysyla, a przynajmniej robilo tak jakis czas temu. Sprobuj napisac do nich ze nie pamietasz hasla do swojego numeru, pozniej dostaniesz dziesiec pytan na ktore musisz odpowiedziec. Jak zweryfikuja to odesla ci swoje haslo. true.

        Odpowiedz
  • 2012.07.30 17:28 kaktus

    A jeśli takie hasło w bazie jest w jakiś sposób szyfrowane i przy wysyłaniu maila odkodowywane? Czym się więc różni wysłanie jawnego hasła od np. przysłania linku do resetu hasła, który nie traci na ważności? Przechwycenie takiego linku jest równie proste jak przechwycenie przesłanego hasła.

    Odpowiedz
    • 2012.07.30 22:15 Adam

      Link do resetu hasła nie pozwoli na zalogowanie się tym samym hasłem np. na skrzynkę pocztową użytkownika.

      Odpowiedz
  • 2012.07.30 18:30 terefer

    hbogo.pl – Serwis VOD HBO

    Odpowiedz
    • 2012.07.30 22:16 Adam

      Czy mozemy poprosić o zrzut ekranu próby ozdyskania hasła? Niestety usługa wymaga zakupu przed przetestowaniem mechanizmów bezpieczeństwa :)

      Odpowiedz
  • 2012.07.30 18:53 Anton

    Całe szczęście ze to nie banki, mam konto na plfoto i nie przejmuje sie tym że ktos pozna moje hasło, zdjecie mi skasuje czy doda własne?

    Odpowiedz
    • 2012.07.30 22:16 Adam

      O ile nie korzystasz z tego samego hasła w innych miejscach, to nie ma problemu.

      Odpowiedz
  • 2012.07.30 23:17 tigitall

    od siebie dodam gamepad.pl ostatnio próbowałem odzyskać tam hasło i się mocno zdziwiłem, że wysłali mi je na maila.

    Odpowiedz
    • 2012.07.30 23:26 Adam

      Dzięki, dodane.

      Odpowiedz
  • 2012.07.30 23:40 anonim

    andegrand.pl

    Odpowiedz
    • 2012.07.30 23:52 Adam

      Nam wysłali nowe hasło, więc nie potwierdzamy.

      Odpowiedz
  • 2012.07.30 23:49 Robert

    Dodam jeszcze drumcenter.pl. Nie dość że hasła trzymane w jawnym tekście to jeszcze wysyłane w kopercie razem z fakturą. Tragedia.

    Odpowiedz
  • 2012.07.31 10:59 Voyager

    Trochę na lista nieaktualna, z tego co widzę racjonalista.pl już nie przypomina haseł tylko resetuje.
    Poza tym, po samym mechanizmie resetowania nie możecie wiedzieć jak są zabezpieczone, dużo ważniejsza jest np. ochrona emaila i nazwiska.

    Odpowiedz
  • 2012.07.31 11:56 Arkadiusz

    Dzień dobry, chciałem poinformować, że zmieniliśmy system zamówień online. Proszę o sprawdzenie i usunięcie wpisu na temat bezpiecznego hasła.
    pozdrawiam serdecznie Arkadiusz Kośliński

    Odpowiedz
  • 2012.07.31 15:03 Bartek

    Monitoring.webhostingtalk.pl jest zewnętrzną usługą, do czasu poprawy została wyłączona (zmieniony wpis A w DNS, co troszkę potrwa).

    Odpowiedz
    • 2012.07.31 21:54 Mariusz

      loteriada.pl

      Odpowiedz
      • 2012.07.31 23:40 Adam

        Gdzie na loteriada.pl jest funkcja przypominania hasła?

        Odpowiedz
  • 2012.08.01 00:15 f2xed

    safegroup.pl

    Odpowiedz
    • 2012.08.01 16:41 Adam

      phpbb chyba nie wysyła starego hasła.

      Odpowiedz
    • 2012.08.01 16:50 Imie

      SafeGroup od zawsze trzyma hasła hashowane, tym bardziej, że forum jest na silniku phpbb3, a witryna na WordPressie.

      Odpowiedz
  • 2012.08.01 08:12 deco

    korim.pl też wysyła hasło mailem po rejestracji

    Odpowiedz
    • 2012.08.01 16:40 Adam

      Ale nie wysyła przypomnienia hasła.

      Odpowiedz
      • 2012.08.04 16:00 deco

        A to różnica czy wysyłają otwartym tekstem stare hasło czy otwartym tekstem wysyłają nowo wygenerowane?

        Odpowiedz
  • 2012.08.01 13:54 Krzysiek

    Krajowy Rejestr Długów Biuro Informacji Gospodarczej SA

    http://www.krd.pl

    Odpowiedz
    • 2012.08.01 16:35 Adam

      KRD generuje obecnie nowe hasło.

      Odpowiedz
  • 2012.08.03 19:56 Henry

    Do bazy warto dodac CBA.PL. Hosting niby dziala dosc bezproblemowo [pomijajac nieaktualne oprogramowanie, wpychajace sie wszedzie reklamy i stare wersje SQL – a wiec zaproszenie do wyhaczania], jednakze same hasla dostaje sie w razie prosby w czystym tekscie.

    Odpowiedz
    • 2012.08.04 11:01 Adam

      Nam cba.pl wygenerowało nowe hasło, więc nie potwierdzamy

      Odpowiedz
  • 2012.08.03 20:20 Tomek

    Po kliknięciu w Przypomnienie hasła, przysłali je plain-textem na email.

    Odpowiedz
    • 2012.08.03 21:33 Adam

      kurtmedia.pl dodane, kolejny sklep IAI

      Odpowiedz
  • 2012.08.03 20:32 Bartek

    Office Depot (www.officedepot.pl) :-)

    Odpowiedz
    • 2012.08.03 21:33 Adam

      Świetny strzał, dodane! Na dokładkę ograniczają hasło do 10 znaków i zamieniają wszystkie litery na duże :)

      Odpowiedz
  • 2012.08.03 20:50 Paweł

    To i ja dopiszę jedną sztukę.

    https://bilet.intercity.pl/irez/

    Przypomnienie hasła przysyła je do nas mailem w czystym tekście.. Wstyd.

    Odpowiedz
    • 2012.08.03 21:29 Adam

      Mają pozycję nr 2 od początku istnienia listy :)

      Odpowiedz
      • 2012.08.27 11:14 m4sh

        I niestety nadal się nic w tej kwestii nie zmieniło :(

        Odpowiedz
  • 2012.08.03 21:20 Minder

    browamator.pl – sklep dla piwowarów domowych

    Odpowiedz
    • 2012.08.03 21:42 Adam

      Potwierdzone, dodane.

      Odpowiedz
  • 2012.08.04 08:24 Minder

    Akcja szalenie ważna, choć ten post można by wręcz nazwać „strzelnica” – crackerzy dostają na tacy listę następnych celów :P Ludzie, zmieniajcie hasła!

    Odpowiedz
  • 2012.08.04 12:15 Szymon

    http://www.beateuhse.pl – po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem

    Odpowiedz
    • 2012.08.04 21:51 Adam

      Kolejny sklep na silniku IAI-Shop, potwierdzone.

      Odpowiedz
  • 2012.08.04 22:53 Łukasz

    cinkciarz.pl

    Odpowiedz
  • 2012.08.08 14:27 Robert

    Zobaczcie jak robi to Generalny Inspektor Ochrony Danych Osobowych w portalu e-GIODO :)
    http://www.facebook.com/Barometrbiznesu#!/Barometrbiznesu

    Odpowiedz
  • 2012.08.09 02:00 Piotrek Odpowiedz
    • 2012.08.09 09:26 Adam

      Nam Adecco wygenerowało nowe hasło, nie potwierdzamy.

      Odpowiedz
  • 2012.08.21 10:19 Mariusz

    http://www.sms.pl

    Nie dość, że otwartym tekstem, to obcinają hasła do 10 znaków przy rejestracji…

    Odpowiedz
  • 2012.08.29 13:46 Tomek

    http://sportbazar.pl – bezpieczne zakupy

    Odpowiedz
  • 2012.10.02 13:17 donosiciel ;)

    „Ta wiadomość została wygenerowana automatycznie. Nie odpowiadaj na tą wiadomość.
    Jeżeli chcesz się z nami skontaktować użyj formularza w zakładce Kontakt http://www.streetcom.pl/kontakt

    Drogi(a) ,
    Dla tego konta zażądano przypomnienia hasła, umożliwiającego dostęp do witryny internetowej Streetcom Polska Sp. z o. o..
    Następnym razem proszę zalogować się, wykorzystując następujące informacje:
    Adres witryny: http://www.streetcom.pl
    Nazwa użytkownika: mój login
    Hasło: hasło otwartym tekstem
    Kod weryfikacji: jakieś cyferki
    Użytkownik autoryzowany (true=TAK, false=NIE): któraś z opcji
    Pozdrowienia,
    Streetcom Polska Sp. z o. o.
    *UWAGA: Jeśli nie żądano przypomnienia hasła (zrobił to ktoś inny), proszę zignorować i zniszczyć tę wiadomość.”

    niszczą, haha

    Odpowiedz
  • 2012.11.30 13:10 Piotr

    http://www.decathlon.pl uruchomił możliwość zakupów online, szkoda tylko, że prawdopodobnie nie hashuje haseł swoich użytkowników. Po rejestracji otrzymujemy maila z potwierdzeniem oraz hasłem zapisanym jawnym tekstem.

    Odpowiedz
  • 2013.05.28 11:58 Greg

    LekkiKoszyk.pl, przesyłają hasło emailem.

    Odpowiedz
    • 2013.05.28 14:23 Adam

      Przy zmianie hasła wysyłają link. Nie potwierdzamy.

      Odpowiedz
  • 2013.07.30 11:53 jano

    https://safegroup.pl – nie ma szyfrowanych haseł , przesyła je w sposób jawny cały czas.
    Sprawdzone kilka dni temu i Imie – jesteś w błędzie i podajesz złe informacje.

    http://imgur.com/jtdBdaB

    Odpowiedz
    • 2013.07.30 12:31 Adam

      Safegroup.pl nie wysyła Twojego osobistego hasła, ustawionego przez Ciebie, tylko hasło wygenerowane losowo – i ta praktyka jest akceptowalna, ponieważ najczęściej (i tak jest w tym wypadku) oznacza, że hasła w bazie są haszowane.

      Aktualizacja: Jak się okazuje, chodziło o email wysyłany przy rejestracji nowego konta – co nie stanowi żadnej przesłanki co do nieprawidłowości – tak po prostu działają domyślnie niektóre silniku forum, przechowujące potem hasła w bezpiecznej formie.

      Odpowiedz
  • 2013.07.30 22:22 Jano

    Właśnie http://www.safegroup.pl wysyła dokładnie takie samo hasło jakie ustaliłem przy rejestracji i nic nie zmienia w tym temacie i nie wysyła żadnego losowo. – najpierw to sprawdziłem zanim dodałem takie info tutaj – robisz ze mnie idiotę. A co do bazy – zawsze są haszowane w niej nawet jeśli dostaniesz na skrzynkę hasło jawnie przesłane i to nie ma nic do rzeczy. Proszę nie wciskać kitu Adam a sprawdzić dokładnie a nie udawać że nic nie ma na rzeczy , forum o bezpieczeństwie a tu takie kwiatki – nieładnie, i jeszcze kłamiesz na dodatek nie wiem dlaczego i po co ? Jesteś tam w administracji? To powiadom o błędzie.

    Więc proszę umieścić ten serwis jako niezaufany.

    Odpowiedz
    • 2013.07.31 07:42 Adam

      Nie, nie jestem tam w administracji.

      Przeczytaj w takim razie poniższy akapit, który specjalnie dla Ciebie przeklejam z artykułu z góry.

      ===

      Serwis wysłał mi hasło zaraz po rejestracji, co zrobić?

      Istnieje taka możliwość, że Wasze hasło, podane przy rejestracji, wysłane do Was emailem w jawnej formie, w bazie jest przechowywane w bezpiecznej formie hashu hasła. Tak działają np. niektóre fora internetowe. Hasło, podane przy rejestracji, jest do Was wysyłane przed jego zabezpieczeniem przez hashowanie. Zawsze możecie poprosić o wysłanie hasła (przez opcję „przypomnienie hasła”) by zobaczyć, czy otrzymacie je jawnym tekstem. Jeśli tak się stanie – dajcie nam znać.

      ===

      Forum safegroup oparte jest na silniku, który haszuje hasła w bazie. A że wysyła hasło przy rejestracji – nie stoi to na przeszkodzie jego haszowania. W tym artykule wymieniamy tylko serwisy, które przechowują hasła w bazie w formie odwracalnej i umożliwiają ich odzyskanie użytkownikowi. Jeśli możesz (NIE PRZY REJESTRACJI) odzyskać swoje hasło z forum, to daj znać.

      Odpowiedz
  • 2013.11.05 21:04 burb boy

    STAMAR Poznań
    http://www.stamarpoznan.pl/

    Dostałem własne hasło cleartextem po rejestracji.

    Odpowiedz
  • 2014.01.30 14:48 Tomasz

    firma hostingowa (!!!) Adweb (nadawca: [email protected]) wysłała mi dzisiaj mejla następującej treści:

    Twoje hasło dla konta 'mojlogin’ to 'mojehaslo’

    Pamietaj, ze przesylanie hasel poczta elektroniczna nie jest w pelni bezpieczne. Zaloguj sie do panelu administracyjnego i zmien je jak najszybciej. Lepiej dmuchac na zimne. Panel jest dostępny pod adresem: https://panel.2be.pl/beeadmin/ W razie problemow z logowaniem, prosimy o kontakt z naszym administratorem pod adresem [email protected].

    Brak mi parlamentarnych słów na takie praktyki. Bezczelne wymuszanie zmiany hasła przez wysłanie go otwartym tekstem razem z loginem!! Zmieniam dostawcę ale proszę ostrzec ludzi.

    Odpowiedz
  • 2016.02.29 19:56 Piotr

    Zarejestrowałem sie kiedyś na http://www.omegajantar.pl po rejestracji oraz zmianie hasła dostajemy e-maila z loginem i hasłem

    Odpowiedz
  • 2017.02.16 13:44 lolek

    Tymczasem ja mam bekę z pesudoeksperów. Solenie haseł przy przechowywaniu ich w cookies nic nie daje, po za tym, że piana schodzi z ust hakerskiej gimbazie.

    Odpowiedz
  • 2020.06.22 21:57 Pio

    Sklep z artykułami medycznymi novamed.pl wysyła hasło mailem w plaintext po rejestracji

    Odpowiedz
  • 2023.11.05 20:14 Sebek

    Sklep erowery.pl – po rejestracji wysyłają hasło otwartym tekstem wraz z loginem w mailu. Ponadto mają ograniczenia co do możliwości użycia znaków specjalnych w haśle. Bardzo proszę o zwrócenie uwagi.

    Odpowiedz

Zostaw odpowiedź do deco

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polskie serwisy, którym lepiej nie powierzać swoich tajnych haseł

Komentarze