We wtorkowy wieczór w ramach cyklu Ask Me Anything na pytania użytkowników Wykop.pl odpowiadał użytkownik podający się za byłego pracownika Allegro. Ujawnił on, że serwis przechowuje hasła i inne poufne dane swoich użytkowników w zwykłych plikach, które są dostępne w firmie dla wielu osób. „Wpierw musisz zalogować się do swojego komputera, swoim loginem i hasłem. Potem masz bodajże inny login i hasło jak wchodzisz na panel, na końcu zaś logujesz się na konto Allegro. Opcje admina dostępne są tylko w siedzibie lub dla komputerów domowych, o stałym adresie IP, które mają mieć taki dostęp” - opisał. „Swoją drogą admini mogą zostawiać komentarze na koncie usera, widoczne tylko dla nich ;) czasami idzie się pośmiać, a czasami aż ma się ochotę podejść do autora takiego komentarza i dać mu w ryło” - dodał.
Proszony o przedstawienie potwierdzających to materiałów, internauta wyjaśnił, że wykonanie i udostępnienie odpowiednich printcsreenów nie było to możliwe z powodów technicznych. „Niestety stacje robocze w firmie są monitorowane i printscreeny można było wysyłać z maila firmowego na firmowy bądź używając wewnętrznej aplikacji” - opisał.
Na informacje od swojego rzekomego byłego pracownika szybko zareagowało Allegro, stanowczo je dementując. „Hasła naszych użytkowników są przechowywane w postaci niejawnej, realizowanej przy użyciu nieodwracalnych mechanizmów kryptograficznych spełniających najbardziej rygorystyczne wymogi bezpieczeństwa obowiązujące na świecie. Poziom bezpieczeństwa w Grupie stoi na bardzo wysokim poziomie i jest nieustannie podwyższany” - czytamy w oświadczeniu Allegro. „Nie jest prawdą opinia, że pracownicy Allegro mają możliwość swobodnego odczytywania i porównywania haseł użytkowników. Hasła dostępu do kont użytkowników były i są zaszyfrowanie, a zatem niewidoczne zarówno dla pracowników i administratorów serwisu, jak i użytkowników” - podkreślają przedstawiciele serwisu.
Inna sprawa, że tożsamość użytkownika podającego się na Wykopie za byłego pracownika Allegro nie została zweryfikowana, tym bardziej że zaraz po sesji Ask Me Anything skasował on swoje konto. - A wcześniej nie skorzystał z procedury weryfikacyjnej, przez co nie możemy potwierdzić jego wiarygodności - mówi nam Michał Białek, dyrektor operacyjny Wykopu. - Nie potrafię odpowiedzieć, dlaczego ten użytkownik zdecydował się usunąć konto z naszego serwisu - dodaje. „Jeśli faktycznie jest to nasz były czy obecny pracownik, jak każdy pracodawca możemy rozważyć konsekwencje wobec osoby, która ujawnia wewnętrzne informacje przedsiębiorstwa” - deklarują przedstawiciele Allegro.
