Αλλαγή γραμματοσειράς
Ημερομηνία Σάβ Νοέμ 18, 2017 6:29 am
foss.aueb.gr

Security

e-shop.gr -- Κωδικοί σε plain text

Too much security is bad security, lol

e-shop.gr -- Κωδικοί σε plain text

Δημοσίευσηαπό c00kiemon5ter » Σάβ Ιουν 23, 2012 3:25 pm

Γράφει ο Νικόλαος Χατζηδάκης

Καλησπέρα σε όλους,

Πολλοί γνωρίζουν ποιος είμαι, τα στοιχεία μου φαίνονται και σε αυτό το blog που σας γράφω, οπότε αυτά που θα γράψω παρακάτω είναι επώνυμα. Εδώ και πολλά χρόνια είμαι πελάτης σε διάφορα ηλεκτρονικά καταστήματα της χώρας μας. Λόγω ειδικότητας (πληροφορικός), έχω τη δυνατότητα να κάνω παραγγελίες από οπουδήποτε στον κόσμο, αλλά προτιμώ να υποστηρίζω τα δικά μας ηλεκτρονικά καταστήματα για λόγους “αρχής”.

Έτσι λοιπόν, έχω λογαριασμό και στο γνωστό ηλεκτρονικό κατάστημα ηλεκτρονικών προϊόντων “e-shop.gr”. Να τονίσω ότι από το συγκεκριμένο κατάστημα έχω κάνει παραγγελίες χιλιάδων ευρώ συνολικά. Έκπληκτος διαπίστωσα πριν μερικές μέρες ένα τραγικό γεγονός. To e-shop.gr ΔΕΝ ΚΡΥΠΤΟΓΡΑΦΕΙ ΤΟΥΣ ΚΩΔΙΚΟΥΣ ΠΡΟΣΒΑΣΗΣ ΤΩΝ ΠΕΛΑΤΩΝ ΤΟΥ. Ναι, καλά διαβάσατε. Πήγα λοιπόν να κάνω log-in στο κατάστημα και μπέρδεψα τον κωδικό πρόσβασής μου, οπότε χρησιμοποίησα τον σύνδεσμο στον οποίο αναγράφεται “Ξεχάσατε τον κωδικό σας;”. Προς μεγάλη μου έκπληξη, έλαβα στο e-mail μου τον κωδικό πρόσβασης που χρησιμοποιούσα.

Για μια στιγμή… Πως γίνεται αυτό;;; Πως είναι δυνατόν το 2012 όπου γίνεται πανικός με θέματα ασφάλειας και προσωπικών δεδομένων, ένα κατάστημα που εμπορεύεται προϊόντα τεχνολογίας να μην κρυπτογραφεί τους κωδικούς πρόσβασης των πελατών του; Όσοι δεν ασχολούνται με το επάγγελμά μας, πιθανόν να μην το σπουδαιολογήσουν, αλλά η πραγματικότητα είναι άλλη… Και για να καταλάβει και ο απλός κόσμος για τί πράγμα μιλάω, να πω πολύ απλά ότι αυτοί που διαχειρίζονται το e-shop.gr έχουν τη δυνατότητα να δουν τους κωδικούς πρόσβασης που χρησιμοποιούν οι πελάτες τους στη σελίδα τους! Φανταστείτε λοιπόν να είστε πελάτης του e-shop.gr, και να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης και στο e-mail σας, οι σε άλλες σελίδες όπου έχετε προσωπικά δεδομένα (facebook για παράδειγμα). Αν θελήσει κάποιος από τους διαχειριστές του εν λόγω καταστήματος, ή αν διαρρεύσουν οι κωδικοί πρόσβασης των πελατών του (όπως έγινε πρόσφατα με μεγάλες ιστοσελίδες όπως το LinkedIn ή μεγάλα δίκτυα όπως αυτό του PlayStation και του XBox Live), θα είστε εκτεθημένοι με πιθανή ανεπανόρθωτη ζημιά.

Σε αυτό το σημείο κάποιος κακεντρεχής θα αναρωτηθεί αν έκανα κάτι για αυτή την υπόθεση. Έθεσα επώνυμα ερώτημα στο e-shop.gr στην επίσημη σελίδα τους στο facebook, και εδώ και δύο μέρες δεν έχω λάβει απάντηση. Να σημειωθεί εδώ το γεγονός ότι στο διάστημα των 3 αυτών ημερών, οι υπεύθυνοι της σελίδας του αναρτούν κανονικά προσφορές στο facebook και απαντούν σε άλλα ερωτήματα πελατών. Επίσης τους ενημέρωσα στον επίσημο λογαριασμό τους στο twitter για την ερώτηση που τους έχω θέσει. Εδώ να σημειώσω ότι τα δύο τηλέφωνα επικοινωνίας που έχουν στη σελίδα τους δεν λειτουργούν.

Το αποτέλεσμα; Τηρήσανε σιγή ιχθύος. Όπως φαίνεται λοιπόν, οι υπεύθυνοι του καταστήματος δεν ενδιαφέρονται για την ασφάλεια των στοιχείων των πελατών τους, και απαξιούν να απαντήσουν σε έναν πελάτη τους ο οποίος έχει υποδείξει ένα τόσο σοβαρό θέμα. Επειδή ζούμε στον αιώνα της πληροφορίας, επειδή από παρόμοιες τακτικές έχει προκληθεί ζημιά σε αντίστοιχες περιπτώσεις σε πολλούς ανθρώπους, και επειδή όλο και περισσότερος κόσμος χρησιμοποιεί το διαδίκτυο για την ενημέρωσή του, βρίσκω λοιπόν κι εγώ αυτό το χώρο για να διαμαρτυρηθώ για το αυτοννόητο. Ακολουθούν σχετικά screenshots για όσους ίσως δεν πιστεύουν, αλλά πέρα από αυτό μπορείτε και μόνοι σας να δοκιμάσετε αυτό που καταγγέλω δημόσια, δηλαδή να δείτε ότι το e-shop.gr σε περίπτωση απώλειας
του κωδικού πρόσβασής σας, σας τον αποστέλλει σε plain text στον λογαριασμό e-mail σας

Εικόνα

Εικόνα

Εικόνα

Υ.Γ. 1) Ο σχετικός σύνδεσμος στον οποίο έχω κάνει την ερώτηση στο facebook: http://www.facebook.com/WWW.ESHOP.GR/posts/10150900567543379

Υ.Γ. 2) Επειδή κάποιοι μπορεί να με κατηγορήσουν ότι σκοπό έχω μόνο να βλάψω το e-shop.gr, όπως θα δείτε και στον σύνδεσμο που παραθέτω παραπάνω, έδειξα καταννόηση σε πιθανή έλλειψη χρόνου των υπεύθυνων του καταστήματος και έδωσα διορία να μου απαντήσουν μέχρι σήμερα το βράδυ (Παρασκευή, 22 Ιουνίου 2012)

Υ.Γ. 3) Το παραπάνω κείμενο μπορεί να δημοσιευθεί σε οποιαδήποτε ιστοσελίδα, υπό την προϋπόθεση ότι θα αναφέρεται και ο σύνδεσμος προς το αρχικό άρθρο.

πηγή
Computers are simple. You just write an instruction and they follow it.
Εικόνα
a cookie! ~ i.will.do.science.to.it! Εικόνα
Άβαταρ μέλους
c00kiemon5ter
cookie hunter
 
Δημοσ.: 554
Εγγραφη: Δευτ Μάιος 11, 2009 1:55 am
Τοποθεσια: (void *)NULL
Operating System: ~ Arch ~ .: Gentoo :.

Re: e-shop.gr -- Κωδικοί σε plain text

Δημοσίευσηαπό MpoMp » Σάβ Ιουν 23, 2012 3:43 pm

Αυτοί δεν ήταν να το κλείσουν το μαγαζί???
ima
stoli
giato
butso
Άβαταρ μέλους
MpoMp
Moderator
 
Δημοσ.: 26
Εγγραφη: Πέμ Φεβ 24, 2011 5:52 pm
Operating System: Windows XP; Mint 14; Windows 7; Ubuntu 12.10

Re: e-shop.gr -- Κωδικοί σε plain text

Δημοσίευσηαπό c00kiemon5ter » Σάβ Ιουν 23, 2012 3:49 pm

έτσι ξέρω κ εγώ, αλλά από τότε που ακούστηκε έχει περάσει χρόνος. ..
Computers are simple. You just write an instruction and they follow it.
Εικόνα
a cookie! ~ i.will.do.science.to.it! Εικόνα
Άβαταρ μέλους
c00kiemon5ter
cookie hunter
 
Δημοσ.: 554
Εγγραφη: Δευτ Μάιος 11, 2009 1:55 am
Τοποθεσια: (void *)NULL
Operating System: ~ Arch ~ .: Gentoo :.

Re: e-shop.gr -- Κωδικοί σε plain text

Δημοσίευσηαπό netharis » Παρ Ιουν 29, 2012 3:17 pm

Lol, ότι να ναι.

Επίσης δεν έχουνε SSL/TLS σε κανένα απο τα post-authentication pages.
Άβαταρ μέλους
netharis
Open Member
 
Δημοσ.: 66
Εγγραφη: Κυρ Μάιος 10, 2009 3:50 pm
Operating System: NetBSD 5.0.1; Debian Lenny; Arch Linux

Re: e-shop.gr -- Κωδικοί σε plain text

Δημοσίευσηαπό MpoMp » Κυρ Ιούλ 01, 2012 2:56 pm

Δεν απάντησαν ποτέ. Fail. Εύχομαι να τους ρίξουν τους άνιωθους. Αλλά να μην την πληρώσουν οι πελάτες. :mrgreen:
ima
stoli
giato
butso
Άβαταρ μέλους
MpoMp
Moderator
 
Δημοσ.: 26
Εγγραφη: Πέμ Φεβ 24, 2011 5:52 pm
Operating System: Windows XP; Mint 14; Windows 7; Ubuntu 12.10


Επιστροφή στην Security

cron
foss.aueb.gr

Μελη σε συνδεση

Συνολικά υπάρχει 1 μέλος συνδεδεμένο: 0 εγγεγραμμένο, 0 κρυφοί και 1 επισκέπτης (με βάση τα μέλη που έχουν συνδεθεί τα τελευταία 5 λεπτά)
Περισσότερα μέλη σε σύνδεση 167 την Κυρ Οκτ 02, 2016 2:55 am

Μέλη σε αυτή την Δ. Συζήτηση : Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης

Γενέθλια

Κανένα μέλος δεν έχει γενέθλια σήμερα