Serwis Niebezpiecznik.pl. donosi o poważnym błędzie, jakiego dopuścił się najpopularniejszy polski serwis aukcyjny - Allegro.

Z serwisu mogły wycieknąć hasła do kont użytkowników, a nawet ich dane osobowe. Oto, jak sprawę opisuje internauta, który znalazł lukę i zgłosił problem: "Przez około godzinę (23 listopada 2010, okolice 16-17) w webapi Allegro znajdowała się luka pozwalająca na pobranie wszystkich danych kontaktowych użytkowników biorących udział w aukcji o podanym numerze ID, także sprzedawcy. Co gorsza również haseł w czystej postaci. Błąd odkryłem przypadkowo, po tym jak metoda doShowItemInfoExt, która w założeniu powinna zwracać informacje o danej aukcji (cena, opis, itp.) zaczęła zwracać wyjątek 'Client: looks like we got no XML document'." Dociekliwy aukcjoner, posługujący się nickiem Slavkowsky, sprawdził, jakie informacje zwraca WEBAPI. Oto, co zobaczył: "Zamiast XML-a ukazała się wypluta tablica zawierająca wszystkie dane o aukcji i biorących w niej udział użytkownikach". Specjaliści Allegro jednak dość szybko dostrzegli problem - i usunęli "furkę". Rzecznik prasowy Allegro Patryk Tryzubiak wyjaśnił: "Z powodu ludzkiej pomyłki podczas wprowadzania poprawek w kodzie serwisu pojawił się błąd w funkcjonowaniu jednej z kilkudziesięciu metod webAPI. W wyniku błędu użytkownik webAPI zamiast prawidłowej odpowiedzi serwera otrzymywał powiadomienie o błędzie zawierające niepożądane dane". Według rzecznika, Slavkovsky jest jedyną osobą, która owe "niepożądane dane" uzyskała, a wszystkie dane i hasła są już bezpieczne.