Aukro zkomplikovalo přihlášení a stále vyžaduje potenciálně nebezpečné údaje

9

Aukro před časem předělalo svůj web, jenže současně s tím vyžaduje obnovení hesla. Pokud jste ke svém účtu neměli přiřazený i telefon, můžete mít problém. Nové Aukro je kvůli tomu paradoxně méně bezpečné.

Aukro v létě změnilo majitele a vrací se do českých rukou. Polovinu má vlastnit původní zakladatel Aukra Václav Liška. Zároveň bylo nutné odstranit propojení s polským Allegro.pl. Kvůli tomu by se dala pochopit nutnost změny hesla ze strany uživatele, jenže komplikací je až příliš.

screenshot-2017-10-26-12-46-29

Aukro totiž vyžaduje aktualizaci kontrolní otázky, kterou je rodné příjmení matky a vedle toho jim musíte naskenovat svůj občanský průkaz. Zaslání občanského průkazu ke službě, ke které jste se původně registrovali doporučeným dopisem je trochu zvláštní. Aukro tímto krokem vlastně část uživatelů odstřihlo od možnosti se snadno přihlásit. Teoreticky je možné to obejít a nechat si do jejich formuláře ověřit svou totožnost na poště, což ale komplikace nesnižuje.

Samotná existence kontrolní otázky je navíc velkým bezpečnostním rizikem a podobné služby by se tohoto způsobu měly spíše zbavovat, ne je zavádět v nových verzích. Rodné příjmení matky lze totiž relativně snadno zjistit už jen základním sociálním inženýrstvím a takto někomu nabourat účet zvládne i začínající hacker.

2017-10-26_13h01_54

Uživatelé, kteří měli ke svému účtu vyplněný i telefon mohou úvodní proceduru přeskočit snadněji a přihlásí se. Jejich účet ale kvůli existenci „bezpečnostní“ kontrolní otázky bezpečný moc není. Změnit již případně zadané rodné příjmení matky na nějakou nesmyslnou odpověď také není snadné – opět k němu potřebujete naskenovat svůj občanský průkaz.

2017-10-26_13h08_42

Připomeňme Facebook, který také někdy (při změně jména třeba) vyžaduje zaslání občanky, ale u něj si lze vzhledem k typu lidí, kteří toto kontrolují, vystačit s Photoshopem.  Aukro o přechodu na nový systém informovalo předem (žádná zpráva o nutnosti mít vyplněný telefon ale nepřišla).

Problém s přihlášením se týká zřejmě jen menšiny uživatelů, zato bezpečnostní riziko kvůli kontrolní otázce se týká všech. I původní web Aukra vyžadoval hlouposti, jak zveřejnil již loni bezpečnostní expert Michal Špaček.

Oprávněný majitel účtu tedy může mít s přihlášením docela velké problémy, zato případný útočník to bude mít vcelku snadné. Samozřejmě Aukro může mít na pozadí i jiné bezpečnostní mechanismy, ale už jen existence a vyžadování zadání rodného příjmení je špatně. Není to ale jen problém Aukra, webů s tímto typem zabezpečení je více.

Pokud máte na jakémkoliv webu zadat rodné příjmení matky, jméno prvního učitele nebo jinou nesmyslnou „bezpečnostní“ otázku, rozhodně neodpovídejte pravdivě. Napište nějaké slovo, které si pro tento případ zapamatujete. Spíše se jich ale ptejte, proč to vyžadují a případně prostě změňte službu.


Aktualizováno 27. 10. 

Přidáváme reakci Aukro.cz:

Při prvním přihlášení do nového systému Aukra je uživatel vyzván k nastavení nového hesla. V tomto směru má dvě možnosti. Přihlásit se může pomocí SMS kódu nebo pomocí kontrolní otázky rodného příjmení matky, které si zákazník nastavil již v předchozí verzi Aukra. Zákazníkům jsme ještě před vypnutím staré platformy doporučili (e-mailem, pokud měli souhlas se zasíláním obchodních sdělení, a prostřednictvím informační kampaně), aby si údaje v nastavení účtu zkontrolovali a případně aktualizovali a předešli tak případným potížím při přechodu na nový systém.

Většina zákazníků při prvním přihlášení zvolila při nastavení nového hesla variantu pomocí SMS kódu. Menší část se rozhodla využít druhou variantu ověření prostřednictvím rodného příjmení matky. Není tedy pravda, že by při přechodu na nový systém byla potřebná aktualizace kontrolní otázky a zasílání kopie občanského průkazu. Tento postup jsme požadovali pouze v případech, kdy uživatelé měli v systému nastaveno jiné, například již nepoužívané telefonní číslo a zároveň si nepamatovali odpověď na kontrolní otázku nebo ji neměli vyplněnou. V takovém případě si pomocí požadovaného dokladu chceme ověřit, že jednáme se skutečným majitelem uživatelského účtu.

Pravdou je, že kontrolní otázka může být pomyslnou brankou, kterou útočník může využít ke změně hesla a následnému přihlášení do účtu. Díky ní jsme však řadě uživatelů umožnili hladký přechod na nový systém, kdy zachování původního hesla nebylo technicky možné. Proto Vás můžeme ujistit, že pod povrchem systému běží další zabezpečovací mechanismy, které hlídají celkovou bezpečnost účtů a obchodování na Aukru.

Výhodou nové platformy pak je, že si ji můžeme přizpůsobovat podle vlastních potřeb. Do budoucna plánujeme přidání dalších opatření, které obchodování na Aukru i samotné zabezpečení účtů zvýší.

Ohodnoťte tento článek!

9 KOMENTÁŘE

  1. Možná by stačilo číst a myslet, než na toto téma vypustím článek. Vážně se s podobnými rádoby varovnými články všude možně roztrhl pytel, tady bych to ale nečekal. Rodné příjmení matky je JEDNÍM z údajů. Že se dá zjistit je jedna věc, ale nestačí to k tomu, aby se někdo naboural do účtu (za předpokladu, že nemáte dementní heslo a další údaje, ale to už je chyba uživatele). Že aukro požaduje občanku je celkem pochopitelné, právě z bezpečnostních důvodů. Navíc to není povinnost, týkalo se to pouze lidí, kteří chtěli využívat PayU. Pokud se to nyní týká i těch, co neměli na účtu žádnou jinou možnost ověření, tak to naprosto chápu. Místo toho, aby „bezpečností experti“ a jiní varovali před tím, jak je vše špatně zabezpečeno, by se uživatelé měli zamyslet nad tím, jak mají účet zabezpečený z hlediska hesla, mailu apod. a jestli využívají všech dostupných možností (a ne, nevyužívají, jak je vidět i dle tohoto článku, protože někdo neměl autorizaci přes telefon a pak brečí, že se nemůže přihlásit bez občanky – to dotyčnému není 15?). Dávat údaje nějakému čínskému webu dneska nikomu nevadí, ale dát je prověřené stránce jako aukro, to je oheň na střeše.

    Já s aukrem už před 10 lety řešil, že dotyčný prodejce nabízel věci, které neměl a nechával si za ně platit (nebylo to v minulosti zase tak ojedinělé). Skončilo to hromadným trestním oznámením, resp. jsme jej podávali jako jednotlivci na policii a pak to sloučili do jednoho vyšetřování. A do 3 měsíců byly peníze zpět a dotyčný u soudu, protože si takto zvládl vydělat stotisícové částky. Takže já jim milerád občanku dám (všichni dělají, jako by na ní byly údaje, které si nelze zjistit jinak – někteří i na facebooku mají více věcí jak na občance), když vím, že to je pro dobro všech zde nakupujících.

    • Obnovení hesla lze provést přes telefon, nebo zadáním rodného příjmení. Samozřejmě tam může být i další zabezpečení v dalším kroku, píšu to v článku. Ale tato kontrolní otázka žádným zabezpečením není, naopak.

      Vyžadovat občanku pro tento typ služby je samozřejmě v pořádku při zakládání účtu. Ne ale po tom, co provozovatel změní web a chce, aby si uživatelé změnili heslo.

      Telefonní číslo bylo u Aukra dříve pouze k tomu, aby se nemuselo zadávat u každé aukce ručně. Ne kvůli dvoufázovému nebo jinému ověření.

  2. No poslední měsíce stejně zjišťuji, že tam je větší a větší kulové. Aukcí, kterých tam dřív bylo mraky, tam je najednou málo anebo vůbec. Jakou alternativu tedy nejlépe použít místo Aukra?

    • Pokud chceš vyloženě dražit, což je velký fenomen a alternativa k tzv. gamblingu (nezřídka kdy tam prodám věc dráž, než ji lze koupit novou v obchodě, někdo si prostě jen chce zahrát přihazovanou a spíše než ta věc ho těší to že ji vyhrál) tak to fakt netuším, ale Aukro jako takové mi dost pomohlo v tom smyslu, že jsem tam navázal spoustu obchodních kontaktů a dneska mi to už slouží jen jako výkladní skříň. Lidi tam vystavují, já se podívám a úplně mimo Aukro si dojednáme obchod, prostě po známosti, na dobré slovo. V tomto smyslu je to daleko lepší než třeba Bazoš a jiné tyhle blešáky. Co se ale týče toho provedení, tak je to taková amatéřina. Zmizely tam RSS kanály, což je pro web tohohle typu zásadní třeba a i jinak je to prostě o kus horší než to bývalo …