Hasła użytkowników Allegro dostępne dla każdego

Błąd w API serwisu zaowocował tym, że przez blisko godzinę każdy internauta mógł przejrzeć dane dostępowe użytkowników, którzy wykonywali transakcje w Allegro w ciągu 90 dni.

Awaria wystąpiła 23 listopada w godzinach popołudniowych. Problem polegał na tym, że metoda doShowItemInfoExt, która w założeniu miała zwracać informacje o aukcji, wyrzucała błąd o nieznalezieniu odpowiedniego pliku XML. Jeżeli ktoś z ciekawości zechciał zobaczyć ów plik, natrafiał na listę haseł i innych danych wszystkich użytkowników Allegro, który dokonywali transakcji w ciągu ostatnich 90 dni.

Usterka została naprawiona po godzinie od momentu pojawienia się. Administracja serwisu tłumaczy, że był to wynik błędu ludzkiego podczas nanoszenia poprawek do kodu. Dodano też, że dostęp do WebAPI Allegro mają tylko konkretne osoby, a ich działania są rejestrowane przez odpowiedzialny za to moduł. Dzięki temu, jak podają administratorzy, udało się ustalić, że tylko jedna z kilkunastu osób korzystających wówczas z API wykorzystała lukę. Tą osobą jest najprawdopodobniej użytkownik slavkowski, który poinformował o całym zajściu blog Niebezpiecznik, zajmujący się tematyką bezpieczeństwa w sieci.

Co jednak najciekawsze, Allegro właśnie uruchomiło akcję zmiany haseł w serwisie. Użytkownicy serwisu otrzymują wiadomości e-mail, które do tego zachęcają.