PR online

Pamiętacie wpadkę Allegro z lukami bezpieczeństwa? Ostatnio na prośbę dzienniakrza jednego z pism analizowałem zachowanie Allegro w tamtym czasie i doszedłem do kilku ciekawych wniosków. Oto i one!

W każdej sytuacji kryzysowej najważniejsze są dwie rzeczy: czas pierwszej reakcji firmy będącej w kryzysie oraz sposób jej reakcji, treść ewentualnego komunikatu. W Internecie trzeba wziąć jednak małą poprawkę – tu czas biegnie znacznie szybciej.

Allegro jest serwisem, z którego codziennie korzystają miliony osób. Tymczasem czas reakcji wynosił około 40 godzin. Ktoś może powiedzieć, że to niewiele. W tym czasie jednak informacja o „dziurach” w najpopularniejszym polskim systemie aukcyjnym obiegły niemal wszystkie portale informacyjne, marketingowe czy IT/e-commerce. Allegro powinno zareagować wcześniej i nie mam na myśli tutaj informacji prasowej, a działań doraźnych mających na celu zabezpieczenie systemu przed możliwością kradzieży danych. Niestety tego nie zrobiło. PR manager Allegro twierdzi , że przerwa techniczna w funkcjonowaniu serwisu, jaka była zarządzona tuż po artykule w Hacking.pl, wcale nie była związana z naprawą błędów w zabezpieczeniach. A może jednak była, tylko nikt nie chciał się przyznać?

Drugim błędem Allegro był brak wsparcia dla użytkowników serwisu. Zaraz po komunikacie dotyczącym przerwy technicznej na forum wewnętrznym serwisu rozpętała się burzliwa dyskusja. Użytkownicy zarzucali administratorom serwisu opieszałość w działaniu, brak konsekwencji, a także wyrażali swoje obawy odnośnie bezpieczeństwa swoich danych. Co więcej mieli mnóstwo pytań odnośnie aukcji, których koniec przypadał właśnie między 1:00-2:00 w nocy 20 stycznia czyli podczas przerwy technicznej. Niestety nikt z pracowników Allegro nie próbował odpowiadać. To wywołało wśród użytkowników prawdziwą „białą gorączkę”.

Trzeci błąd Allegro to oświadczenie wydane przez PR managera serwisu, który zaprzecza jakoby Allegro miało jakiekolwiek luki w systemie oraz bagatelizuje całą sprawę. Niedopuszczalnym wydaje się także fakt, iż w oświadczeniu Allegro przyznaje się do błędu, iż nie zauważyło komunikatu Hacking.pl na temat luk w systemie. To jest dopiero prawdziwa luka w systemie!

Ilość negatywnych artykułów i wpisów na blogach do momentu wydania oficjalnego oświadczenia przez PR managera Allegro sięgnęła ponad 100, liczba komentarzy zapewne szła w tysiące. Niestety 99% z nich nie miało pozytywnego wydźwięku. Kryzys systemy bezpieczeństwa Allegro.pl ujawniony przez Hacking.pl pokazał, że polski serwis aukcyjny cierpi na inny kryzys… kryzys w komunikacji:

• po pierwsze pracownicy Allegro zupełnie nie byli gotowi na pojawienie się informacji o błędach i najwyraźniej nie wiedzieli jak zareagować – to tłumaczy czas reakcji
• po drugie zupełnie nie spodziewali się, że ktoś może wykryć luki w ich systemie, a następnie zechcieć ich o tym poinformować (tak zrobiła redakcja Hacking.pl). Do teraz Allegro utrzymuje, że nie zauważyło maila od Hacking.pl na czas!!!!!
• całkowicie zawiodła komunikacja z użytkownikami, w momencie kryzysu i niepewności zostali oni sami ze swoimi wątpliwościami – dlaczego Allegro nie oddelegowało nikogo do obsługi zapytań na forum, dlaczego nie poinformowało użytkowników serwisu o bezpieczeństwie i obecnym stanie ich aukcji?
• na stronach Allegro brak było jakichkolwiek informacji na temat zabezpieczeń systemu, procedur bezpieczeństwa, procedur rozstrzygania aukcji w czasie przerwy technicznej itp. itd. – długo by wymieniać.

Dodatkowo informacja od pracownika Allegro na forum była bardzo lakoniczna i mało treściwa. Taki stan rzeczy spowodował spekulacje internautów, które przerodziły się w obawy, zarzuty, strach, a następnie panikę. I TO WŁAŚNIE TO SPOWODOWAŁO PRAWDZIWY KRYZYS.

Przypadek Allegro pokazuje dobitnie, jak ważna jest sprawna komunikacja dwukierunkowa na linii firma-klient. Tutaj tej komunikacji zabrakło – najpierw Allegro nie zauważyło informacji o lukach, następnie nie odpowiadało na wątpliwości użytkowników. I tak naprawdę dopiero to zrodziło kryzys, a nie luki w systemie bezpieczeństwa.

No proszę! Wędrując sobie po newsach na Onecie znalazłem takie oto info . Jak już poszperałem trochę dłużej i znalazłem kilka potwierdzeń ów wiadomości między innymi na Marketing-News , a także w Dzienniku Internautów .

Dokładny briefing przesłany przez NFI można za to zerknąć tutaj .

No proszę, kto by ogólnie pomyślał, że Fundusz kiedykolwiek rzuci się na coś „łebdwazero” made in Poland. A tu taka niespodzianka. Ciekawe jak właścicielom CN udało się przekonać NFI do inwestycji? Najwyraźniej wizja rozwoju przedstawiono przez CN musiała być naprawdę imponująca.

Cafe News od jakiegoś czasu wręcz szaleje na polskim rynku. Ostatnio w czytniki pojawiła się możliwość przeglądania ogłoszeń o pracę z 7 największych polskich serwisów, a wcześniej o przekroczeniu liczby ponad 100 tysięcy użytkowników.

Dopływ gotówki zapewne jeszcze bardziej zintensyfikuje rozwój polskiego agregatora RSS. Z tego co wynika z informacji prasowych już niedługo możemy spodziewać się możliwości oglądania telewizji oraz słuchania radio przez aplikacje CN. Hmm…

Osobiście używam CN niemal codziennie, mimo że wczesniej byłem dość sceptycznie nastawiony do RSS-ów. Wydawały mi się nie potrzebne. Teraz jednak nie wyobrażam sobie bez nich życia. Codziennie rano w pracy przeglądam za pomocą CN (wcześniej używałem RSSOwl) ponad 50 serwisów i wyłapuję różne ciekawostki. W sumie można powiedzieć, że to taki mały monitoring online.

No i mamy wpadkę największego serwisy aukcyjnego w Polsce. Takich „problemów” nie powstydziłby się nawet amerykański Ebay.

Najpopularniejszy polski serwis aukcyjny Allegro.pl zawiera w sobie luki – odkryli redaktorzy serwisu Hacking.pl. Co więcej określili, że poziom bezpieczeństwa na tym serwisie jest „równy zeru”. Znalezienie błędów zajęło im 3 minuty . Trwają prace nad weryfikacją informacji o lukach – odpowiadają pracownicy Allegro.

Z newsów na Hacking.pl można się dowiedzieć:

(…)System zabezpieczeń Allegro nie stanowi zbyt dużej przeszkody; w kilka minut można wykraść dane osobowe dowolnego użytkownika, przejąć jego login i hasło oraz wystawić nową aukcję.

System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, co umożliwia pozyskanie dostępu do wspomnianych powyżej danych i przeprowadzenia czynności związanych z obsługą konta czynności dzięki odpowiednio spreparowanemu adresowi URL. (…)

Tymczasem Allegro wydaj oświadczenie w związku z publikacją na Hacking.pl.

Hmm… i co ja na to. Szczerze trochę dziwi mnie forma oświadczenie. Z jednej strony, że niby jest wszystko OK!, że bardzo dziękują za zwrócenie uwagi i doceniają to, że redakcja Hacking.pl zwróciła się z problemem od razu do nich.

Nie mogę jednak zrozumieć jak taki serwis mógł mimo wszystko zareagować tak późno i nie przyznać się do błędu w komunikacji, a zwalać wszystko na świąteczne „obłożenie” serwisu. Dziwi mnie to trochę bo wystarczy przecież wystawić aukcję, która w jednym małym aspekcie nie zgadza się z regulaminem serwisu, a reakcja Allegro jest niemal natychmiastowa – z reguły zajmuje im to kilka godzin. Gdzie więc byli w tym czasie kiedy redaktor Hacking.pl przysłał im ostrzeżenie?

W niedługim czasie po ujawnieniu luk Allegro zapowiedziało przerwę techniczną między 1:00-2:00 godziną w nocy. I mimo, że pracownicy serwisu aukcyjnego zarzekali się, że nie ma ona nic wspólnego z wykryciem luk w bezpieczeństwie to informacja ta wywołała prawdziwe piekło na forum Allegro (poczytajcie te wpisy WARTO!)
Co gorsza na wątpliwości i zarzuty użytkowników wobec działań serwisu nikt do tej pory z pracowników Allegro nie odpowiedział. Ojjj minus!