Nefunční zabezpeční Alza.cz

Nefunční zabezpeční Alza.cz
« kdy: 30. 06. 2022, 13:50:28 »
Nesetkali jste se také někdo s problémem, že se vám někdo vloupal do účtu na Alza.cz?

Mám účet zabezpečený náhodně vygenerovaným heslem z password manageru a dvoufázovou autentizací přes SMS. Přesto se mi o víkendu objevila v účtu cizí objednávka za 18 tisíc. Kupodivu ne s použitím uložené karty (omylem jsem ji jednou uložil a pak zapomněl, že ji chci odstranit), ale s platbou při vyzvednutí - takže podvodným úmyslem si nejsem jistý.

Objednávku jsem hned stornoval a kontaktoval support, které mu to bylo naprosto šumák. Druhý den se objevila stejná objednávka, tak jsem ji opět stornoval, změnil si heslo a důrazně kontaktoval support, kterému to opět bylo jedno.

Další den jsem opět urgoval support, jestli něco zjistili a po dalších pár dnech mi přišlo:

"Dobrý deň, bohužiaľ nedokážeme zistiť kto sa pod registráciu nabúral, prajete si Vašu registráiciu prípadne zrušiť, aby ste si mohli vytvoriť novú?"

Od kolegy mám zprávu, že i když má zapnuté 2FA, přihlášení proběhne bez SMS.

Je to jen eshop, ale zase největší u nás a tak by mě zajímalo, jestli se i někdo jiný s tím setkal - zaprvé, že to mají děravá a za druhé, že je jim to zcela jedno. U nás, kdyby zákazník nahlásil, že se mu někdo naboural do účtu, tak se to bude hodně řešit na technické úrovni a ne že necháme support mlžit.


Re:Nefunční zabezpeční Alza.cz
« Odpověď #1 kdy: 30. 06. 2022, 14:16:40 »
Osobně bych spíše řekl, že to někdo kliká z jejich podpory, mohou totiž kdykoliv přiřadit objednávku komukoliv, takže možná nějaká chyba párování. Je nepravděpodobné, že při změně hesla se ti objednávka okamžitě objeví znovu.

Alza poslední dobou hodně šetří a propouští, asi stavět růst na loňských covidových číslech, kdy jako jedni z mála fungovali bylo dost odvážné.

Stejně tak je dost nepěkné, když společnosti pořád tvrdošíjně používají validace přes sms ač si nastavíš cokoliv jiného.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #2 kdy: 30. 06. 2022, 14:20:48 »
Jsou to uplný idioti.. mně se někdo zkoušel přihlásit na učet ale neprošel přes dvoufázovou kontrolu. Odmítali mi sdělit IP že prej by to bylo porušování soukromí (někoho kdo se mi zkoušel nabourat do učtu), takže jsem neměl šanci zjistit odkud kdo to zkoušel. Ale měl jsem tam mail a heslo co byl v nějakým listu uniklých hesel takovy to jak tam jsou ty weby co před rokem 2010 ukládali hesla v MD5. Takže moje chyba že jsem to tam neměl zmeněný. Zmenil jsem tam mail a od tý doby klid.
Alza super vrací peníze bez keců, snaží se ted i mít dobrý ceny, ale tohle je tam hruza no.

u tebe to hádám na nějakou jejich interní chybu a nebo máš vir k kompu nebo jsi se někde neodhlásil? V práci apod?

Re:Nefunční zabezpeční Alza.cz
« Odpověď #3 kdy: 30. 06. 2022, 14:22:33 »
Osobně bych spíše řekl, že to někdo kliká z jejich podpory, mohou totiž kdykoliv přiřadit objednávku komukoliv, takže možná nějaká chyba párování. Je nepravděpodobné, že při změně hesla se ti objednávka okamžitě objeví znovu.

jo to je taky pravda oni můžou dělat objednávky přes telefon apod, tak to tam spíš někdo naklikal že třeba jmenovec. Jestli se jmenuješ Jan Novák, Pospíšil apod, tak je to jasný.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #4 kdy: 30. 06. 2022, 14:26:33 »
Taky jsem tipoval spíš interní chybu, ale tam bych trochu doufal, že uvidí, kdo to tam interně zadal (aspoň my to vždycky v interních nástrojích logovali) a stačilo to přiznat.

Jestli jim přijde lepší to zatlouct a tvářit se, že se mi někdo nabourává do účtu a oni k tomu neumí zjistit vůbec nic, tak jim na jejich reputaci vůbec nezáleží.


Re:Nefunční zabezpeční Alza.cz
« Odpověď #5 kdy: 30. 06. 2022, 14:42:41 »
S tím, že je jim úplně jedno cokoli, co vypadne z jejich happy path, jsem se u Alzy setkal před několika lety a od té doby u nich nenakupuju. Když si od nich vymažete uloženou platební kartu, nemusíte se bát o peníze, a když smažete/změníte telefonní číslo (pokud nejde smazat, tak změnit na jejich), nebudou vás otravovat ani kurýři, kteří se vám budou pokoušet nějakou cizí objednávku dokončit.

L..

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Nefunční zabezpeční Alza.cz
« Odpověď #6 kdy: 30. 06. 2022, 21:54:43 »
Jestli jim přijde lepší to zatlouct a tvářit se, že se mi někdo nabourává do účtu...

Tak to záleží, jak probíhal ten hovor. Pokud jsi nastoupil rovnou s tím, že se ti někdo naboural do účtu, tak se nediv, že neřešili, jestli se někdo neuklikl.

mně se někdo zkoušel přihlásit na učet ale neprošel přes dvoufázovou kontrolu. Odmítali mi sdělit IP že prej by to bylo porušování soukromí, takže jsem neměl šanci zjistit odkud kdo to zkoušel.

IP adresa je za určitých okolností osobní údaj, takže to udělali správně. Ostatně, co myslíš, že bys z ní zjistil? Stejně to nejspíš byl nějaký vyhackovaný počítač a ne přímo počítač útočníka.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #7 kdy: 30. 06. 2022, 22:14:48 »
Na supportu jsou neschopáci, kterým je to úplně jedno. Vzhledem k tomu, že Alza nemá kontakt pro hlášení bezpečnostních incidentů, kontaktoval jsem manažera, kterého jsem vygooglil, že už jednou na chybový report reagoval. Napsal jsem:

"Jako IT profesionál si dovedu představit spoustu možných scénářů, jak se na mém účtu objevila nechtěná objednávka, vč. nějaké mé uživatelskéchyby, Vaší technické chyby, ale i bezpečnostního problému. Co mě alezaráží, že Alza nad tím mávne a nestojí ji to za prozkoumání."

Ale odpověď jsem nedostal. Myslím, že Filip Jirsák má pravdu, že optimalizují jen na happy path a nic jiného je nezajímá.

L..

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Nefunční zabezpeční Alza.cz
« Odpověď #8 kdy: 30. 06. 2022, 23:52:14 »
U nás, kdyby zákazník nahlásil, že se mu někdo naboural do účtu, tak se to bude hodně řešit na technické úrovni a ne že necháme support mlžit.

No a kolik těch zákazníků máte? Máte alespoň desetinu toho, co Alza? To těžko, protože to byste nedělali nic jiného, než že byste "hodně řešili na technické úrovni" různé podobné podivné věci.

Netuším, kolik podobných "hlášení o podivnostech" má Alza denně, ale tipoval bych minimálně desítky, spíš stovky. A že drtivá většina toho bude chyba / zmatení na straně uživatele, nebo různé náhodné chyby. U tak velké firmy prostě nejde řešit věci individuálně, to by se zbláznili. Musí na to jít statisticky. Kdyby jim za den najednou přišlo třeba o sto hlášení víc, že se lidem objevila na účtu cizí objednávka, tak by to už asi někdo řešil, protože to už smrdí nějakou systematickou chybou.

Karmelos

  • *****
  • 1 038
    • Zobrazit profil
    • E-mail
Re:Nefunční zabezpeční Alza.cz
« Odpověď #9 kdy: 01. 07. 2022, 00:38:11 »
Může být, že váš jmenovec náhodou používá podobnou emailovou adresu - třeba jen s + nebo - ve jménu před zavináčem (např seznam takové zaregistruje). Některé parsery emailu to prostě odmažou a ignorují. Potom jednorázová objednávka bez registrace může přihodit objednávku na váš účet - taková je moje domněnka.
 Osobně jsem takhle zrušil několik obskurních objednávek z pochybných e-shopů na moje jméno a email, ba dokonce mi přišlo cizí potvrzení termínu očkování na covid. To jsem teda nerušil.
Gréta je nejlepší.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #10 kdy: 01. 07. 2022, 00:46:18 »
IP adresa je za určitých okolností osobní údaj, takže to udělali správně. Ostatně, co myslíš, že bys z ní zjistil? Stejně to nejspíš byl nějaký vyhackovaný počítač a ne přímo počítač útočníka.
Nechápu proč to, že někdo chce vědět IP vždycky ve forech triggeruje nějakýho mravokárce, že na co ji potřebuje apod. z ní se dá zjistit spousta věcí. Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, aby právě člověk měl přehled jestli tam nedochází k nečemu nežádoucímu nebo jestli se nezapomněl někde odhlásit a když jo, tak aby poznal kde a dokonce s geolokací.
Proč by alza měla bejt výjimka a vymlouvat se na osobní údaje, když to vyžaduju jako majitel účtu kvuli bezpečnosti, zvlášt když se tam manipuluje s penězma/kartama. Kdyby tam tu historii měli automaticky jako ostatní služby, tak se na to nikoho neptám. Já to chtěl pro ujasnění, abych viděl jestli to je nějakej omyl třeba i z mojí strany jestli se třeba znovunepřihlásila appka v mobilu nebo jestli se na to neklikalo někde kde jsem se mohl přihlašovat. Když by to byl pokus o přihlášení z Indonesie nebo nějaký VPN datacentrum, tak by to bylo alespoň jasno že to je zloděj co jen zkouší kombinace. Kdyby to ukázalo ČR tak by to asi bylo k dalšímu zamyšlení.

IP je osobní údaj, jen když to vede ke ztotožnění osoby, ne když je to jen "plain" IP adresa, to je asi jako registrační značky na autech, to je prostě veřejnej údaj dokud to nemáš spojený s osobou. I sem může kdokoliv hodit pixel nebo obrázek na vlastním hostingu a bude taky mít IP všech návštěvníků, wiki ukazuje bežně IP lidí co editovali články. Já to ale od te Alzy chtěl k výše uvedenému vyjasnění lokace přihlašujícího se a ne na nějaký kiddos hacky.

L..

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Nefunční zabezpeční Alza.cz
« Odpověď #11 kdy: 01. 07. 2022, 08:29:21 »
Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, ...

Ta to asi používáte nějaký jiný Facebook a Google než já. Protože mě to ukazuje pouze info typu "Android on Blackberry v Praze", ale IP rozhodně ne.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #12 kdy: 01. 07. 2022, 08:44:48 »
No a kolik těch zákazníků máte? Máte alespoň desetinu toho, co Alza? To těžko, protože to byste nedělali nic jiného, než že byste "hodně řešili na technické úrovni" různé podobné podivné věci.

Netuším, kolik podobných "hlášení o podivnostech" má Alza denně, ale tipoval bych minimálně desítky, spíš stovky. A že drtivá většina toho bude chyba / zmatení na straně uživatele, nebo různé náhodné chyby. U tak velké firmy prostě nejde řešit věci individuálně, to by se zbláznili. Musí na to jít statisticky. Kdyby jim za den najednou přišlo třeba o sto hlášení víc, že se lidem objevila na účtu cizí objednávka, tak by to už asi někdo řešil, protože to už smrdí nějakou systematickou chybou.
Právě naopak, tak velká firma jako Alza by měla umět zvládat i ty výjimky, protože se s nimi musí setkávat dnes a denně. To, že takováhle každá podivnost tu firmu vykolejí, je naopak dost drahé. Alza je zatím nádherný lowcost, který svoje náklady dokonalé zvládá přenášet na zákazníky. Akorát se jí zatím úspěšně daří vytvářet dojem, že je něco lepšího.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #13 kdy: 01. 07. 2022, 08:51:05 »
Proč by alza měla bejt výjimka a vymlouvat se na osobní údaje, když to vyžaduju jako majitel účtu kvuli bezpečnosti, zvlášt když se tam manipuluje s penězma/kartama. Kdyby tam tu historii měli automaticky jako ostatní služby, tak se na to nikoho neptám. Já to chtěl pro ujasnění, abych viděl jestli to je nějakej omyl třeba i z mojí strany jestli se třeba znovunepřihlásila appka v mobilu nebo jestli se na to neklikalo někde kde jsem se mohl přihlašovat. Když by to byl pokus o přihlášení z Indonesie nebo nějaký VPN datacentrum, tak by to bylo alespoň jasno že to je zloděj co jen zkouší kombinace. Kdyby to ukázalo ČR tak by to asi bylo k dalšímu zamyšlení.

IP je osobní údaj, jen když to vede ke ztotožnění osoby, ne když je to jen "plain" IP adresa, to je asi jako registrační značky na autech, to je prostě veřejnej údaj dokud to nemáš spojený s osobou. I sem může kdokoliv hodit pixel nebo obrázek na vlastním hostingu a bude taky mít IP všech návštěvníků, wiki ukazuje bežně IP lidí co editovali články. Já to ale od te Alzy chtěl k výše uvedenému vyjasnění lokace přihlašujícího se a ne na nějaký kiddos hacky.
Pro obchodníka je IP adresa osobní údaj, protože ji má svázanou s konkrétní registrací osoby, u které zná jméno i adresu. To ke ztotožnění osoby bohatě stačí. A protože je to osobní údaj, musí s ním firma jako s osobním údajem nakládat a nemůže ho vykládat každému, kdo si řekne. To, že jde o nějakou bezpečnost, tvrdíte vy. Pokud se obáváte o bezpečnost svou nebo svého majetku, obraťte se na Policii. Ta má možnosti, jak to řešit, a firma jí tu IP adresu bude muset poskytnout, pokud k tomu bude důvod.

Re:Nefunční zabezpeční Alza.cz
« Odpověď #14 kdy: 01. 07. 2022, 09:12:34 »
hlavně z pohledu Alzy nikdo neví, jestli znalost IP adresy může vést ke ztotožnění či nikoliv. Nezapomeň, takže logicky se jí zdráhají prozradit. Wikipedia si s veřejnění poradila trochu jinak a jsou na hraně, ví ale co dělají. Alza se ale nejspíš řídí doporučením ÚOOÚ (https://www.uoou.cz/desatero-omylu). Neměl bych jim to za zlé, jdi na to ale opačně, nepožaduji IP adresu domnělého útočníka, ale podle GDPR si vyžádej výpis svých osobních údajů vč. historie přihlášení, to by ti měli dát.