Polityka bezpieczeństwa Allegro

Wgląda, że polityka bezpieczeństwa Allegro jest mocno poroniona. Z jednej strony hasła latają sobie plaintekstem (co z tego, że „tylko po serwisie”? pracowników z dostępem „trochę” jest…), z drugiej – nie przyślą (zmienionego) hasła czy URLa do zmiany hasła na podanego wieki temu przy zakładaniu konta maila bo… nie podałem nazwiska panieńskiego matki (dziwnym nie jest – nie było obowiązkowe, to po co im ono?).

Ostatnio jak rozmawialiśmy, to pracownicy Allegro byli tak dowcipni, że do resetu hasła chcieli ksero dowodu osobistego, koniecznie wysłane pocztą (żaden skan, żaden faks). Bardzo śmieszne, bardzo „bezpieczne”, bardzo ekologicznie i bardzo wygodnie. Przecież dane z DO w ogóle nie są wrażliwe. I poczta na pewno nie może ich zgubić. I na 100% trafi na uczciwą i kompetentną osobę w helpdesku. Jasne.

I jak już dostaną list z kserem dowodu, to chcą kod pocztowy i numer telefonu. Nie kojarzę, by mieli mój numer telefonu, więc w weryfikacji im to nie pomoże, ale to szczegół. Startery są po 3 zł i tyle kosztowałoby mnie mocno anonimowe przejęcie cudzego konta, jeśli znałbym hasło do maila i login Allegro, przed czym teoretycznie może zabezpieczać makulaturogenna procedura, którą proponują.

Więcej, usunięcie konta (jak patrzę, to korespondencję nt. przywrócenia konta prowadziłem rok temu, co mi po koncie, którego nie używam? tylko spam dostaję…) też wymaga zalogowania się (którego z braku hasła nie jestem w stanie wykonać).

Z jednej strony utrudnianie życia legalnym i uczciwym użytkownikom i narażanie ich danych (hasła trzymane plaintekstem, żądanie narażania na wyciek danych z DO), a z drugiej mają drugiej strony mają multikonta, choć niby weryfikacja listem itp. Z dyskusji przy wyżej linkowanym wpisie wynika, że hasła plaintekstem są po to, by wyłapywać multikonta. Niesłychanie skuteczny sposób. Nikt teraz nie będzie wiedział co zrobić, żeby mieć kilka kont na Allegro.

I po ostatniej wtopie nie jest wykluczone, że moje hasło już ktoś ma. Jakieś pomysły, z czego (poza GIODO i UOKiK) można ich w tej sytuacji ścignąć? Tak, znudziło mi się i tym razem definitywnie chcę dokończyć sprawę – ich problem, czy chcą mieć klienta, czy nie – ja nie chcę spamu, potencjalnie „wyciekniętego” hasła i braku kontroli nad swoimi danymi.

UPDATE: Teraz chcą skan dokumentu tożsamości. Nadal nie uśmiecha mi się wysyłanie tego otwartym tekstem. Oraz: szybki googiel twierdzi, że i wtedy można było skany wysyłać. Tyle w sprawie kompetencji pracowników na podstawie udzielanych informacji (Nadmienię, że dokumenty przyjmujemy jedynie drogą pocztową. Kopie nadesłane faksem czy też skany przesłane drogą mailową nie są przez nas honorowane)…

UPDATE2: Ostatecznie udało się zamknąć konto na Allegro (korzystając wyłącznie z adresu email, przy pomocy z którego (plus dodatkowe dane) nie chciano zresetować hasła. Z jednej strony odejście od procedury albo luka w niej, z drugiej przejaw zdrowego rozsądku i myślenia (w końcu!): W tej sytuacji proszę o podanie wszystkich danych, na jakie zostało założone konto, tj. imienia i nazwiska, adresu i telefonu oraz oświadczenia, iż decyduje się Pan na zamknięcie konta i usunięcie z niego danych osobowych.

Podałem dane (także telefon sprzed wielu lat, który ewentualnie mogli mieć w systemie) i zamknąłem konto (skoro i tak prawie od dwóch lat nie używałem, to po co mi ono). Czy to koniec? Skądże. Ale o tym w kolejnym wpisie (patrz trackback).

UPDATE 3 Ostatecznie przeprosiłem się z Allegro i znowu mam tam konto. Więcej o motywach powrotu w tym wpisie.

Ile cyfr potrzeba, by numer konta był unikatowy?

Temat (nie)unikatowych numerów kont pojawił się w tej dyskusji nt. tokenów (dead link, domena przejęta), a szerzej opisany jest w tym wpisie, ile cyfr potrzeba, by numer rachunku bankowego był unikatowy. Przyznam, że nie miałem zielonego pojęcia nt. algorytmu weryfikacji numeru IBAN, ale na chłopski rozum kolizje zdarzą się wszędzie. Stwierdziłem, że najlepsza metoda nauki to napisać skrypt do sprawdzania. Oczywiście w Perlu. Przy okazji wyszło mi, że Perl średnio sobie radzi z dużymi liczbami, a Python dobrze, ale dzięki temu znalazłem pięknego gotowca w postaci modułu do sprawdzania poprawności numeru IBAN.

Pierwsze, co rzuca się w oczy, to fakt, że tak naprawdę numer IBAN jest zamieniany na liczbę, a czy jest poprawny określane jest tylko na podstawie jednego testu – jeśli reszta z dzielenia tej dużej cyfry przez 97 wynosi 1, to numer jest poprawny.

Chwila zabawy programem i okazuje się, że dla 3 brakujących cyfr w dowolnym miejscu rachunku można wygenerować ok. 10 kolizji. Pewnie ma to coś wspólnego z faktem, że 97 jest liczbą pierwszą, a samo 97 mieści się w każdym tysiącu właśnie 10-11 razy, ale tutaj już by się matematyk przydał i zasady podzielności przez 97 (hasło do Google cechy podzielności przez 97 nic sensownego nie znalazło niestety).

Inna szansa, że nasze PL na początku numeru (które wraz z następującymi po nim dwiema cyframi jest przesuwane na koniec i zamieniane na liczby patrz algorytm weryfikacji numeru IBAN) jest na tyle pechowe, że powoduje taką przykrą przypadłość. Ale to łatwo sprawdzić – dzięki użyciu ogólnej biblioteki skrypcik do bruteforce’owania numerów IBAN powinien działać dla wszystkich krajów.

Póki co konkluzja jest taka, że aby numer był unikatowy, to trzeba podać wszystkie cyfry. Przy dobrym wietrze może się zdarzyć, że 1 można opuścić.

PS. Nie cierpię słowa unikalny. Dla mnie oznacza ono możliwy do uniknięcia. Zamiast niego możnaby używać słowa unikatowy. Niestety SJP traktuje je jako synonimy.

Jak wszyscy tracą – mBank i Piotr.

Kiedyś, dawno temu kominek popełnił wpis o budyniu Dr Oetker, dzięki któremu stał się znany. Przedwczoraj w jego ślady poszedł Piotr Konieczny pisząc o mBanku. Tyle, że jedna rzecz być pionierem, a zupełnie inna po prostu powtórzyć.

Jest też parę różnic między tymi wpisami: wpis kominka zapewne był spontaniczny, Piotra – wyrachowany. Kominek jednoznacznie padł ofiarą firmy (robił wg. przepisu, wyszło rzadkie g…), natomiast Piotr umówił się na pierwsze spotkanie i nie pojawił się (czemu spóźniająca się taksówka ma być usprawiedliwieniem, a brak pracownika – choćby z powodu choroby – czy restartujący się komputer nie?).

Potem już jednoznacznie wtopa mBanku, ale mam wrażenie, że podobnie sprawy by się potoczyły w dowolnej innej instytucji, gdzie PR rządzi, koszty się tnie, a rotacja pracowników jest spora (strzelam, ale zwykle takie są realia). Mam podobne przygody z PlusGSM (kontakty z ichnim BOK są naprawdę traumatyczne, a i tak kończy się na konieczności złożenia reklamacji pisemnie, XXI w. w końcu i dwa tygodnie mailowania psu w d…), moi dostawcy internetu również nieco mnie zirytowali w swoim czasie na różne sposoby (wyjątek obecny, ale zmiana miejsca świadczenia usługi dopiero przede mną…).

Ale do rzeczy. Czemu wszyscy przegrywają? mBank – oczywista antyreklama, zasłużona, dodajmy. Niestety, prawda jest taka, że ich obsługa klienta jest na niskim poziomie. Kontaktowałem się via livechat kiedyś, trwało to masakrycznie długo (godzinę), a ich pracownik nie zaproponował mi żadnej sensownej metody posiadania karty wysokiego ryzyka (ot, chciałem takie konto i kartę, gdzie mam mało środków i jak pójdę zabalować, to straty będą nikłe i kontrolowane w przypadku kradzieży/skopiowania karty). Sam sobie znalazłem rozwiązania… Żądanie zdjęcia logo itp. sytuacji nie poprawią – skończy się pewnie, tak jak w przypadku kominka, na wykopie. Ciała niewątpliwie dali, zaproponowali rekompensatę (IMO sensowną – wcale nie trzeba było dzwonić z komórki, a tłamszenie psychiki na własne życzenie było. Zamiast wywalać pieniądze na PR w celu magicznego przyciągnięcia klienta, zajmijcie się uczciwą pracą. Choćby szkoleniem pracowników, zwiększeniem ich ilości, poprawieniem sprzętu (tak, wiem, nie taki profil i priorytety, niestety). Przychodzi na myśl never argue with a troll, they bring you down to their level and beat you with experience.

Piotr – niewątpliwe duża odwiedzalność z okazji tego wpisu (swoją drogą ludzie mają dziwną tendencję lgnięcia do takich wpisów; normalnie przyszli czytelnicy Faktu), tylko bardzo to przypomina nieważne, czy mówią o nas dobrze, czy źle, ważne, żeby mówili. Poza tym, skoro ten mBank taki beznadziejny, to po co ma tam konto? Innych banków nie ma? Wyrafinowana forma masochizmu? Hipokryzja (to bardzo zły bank, dlatego go używam)? Nie rozumiem też wydzwaniania z komórki i chodzenia po punktach (chyba, że się lubi), skoro można skontaktować się przez net, pracownik może oddzwonić, a papiery załatwia się zdalnie (ostatnio kumpel zakładał konto – kurier przywiózł, kurier zabrał, konto działa). Piotrze, udało Ci się zaprezentować jako niepoważny (niestawienie sie na umówione spotkanie, nawet nie zadzwoniłeś powiedzieć, że nie dotrzesz), nieumiejący wybrać oferty (po co się potykać 4 m-ce, skoro od ręki można załatwić to samo gdzie indziej), wulgarny (oczywiste), nieskuteczny i niekonsekwentny. Naprawdę o to chodziło?

No i na końcu stracili czytelnicy – zamiast fajnego bloggera szykuje się kominek bis. Czyta się świetnie, napięcie ogromne, sprawa sensacyjna… Całkiem jak w Fakcie.