Kolejny dzień ataków. Allegro walczy już nie tylko z DDoS-em, ale również ze wściekłymi klientami i sprzedawcami

Już w lutym byliśmy świadkami dwóch sporych ataków DDoS, które zatrzymały największą w kraju internetową machinę handlową. DDoS (Distributed Denial of Service) to atak na systemy komputerowe ofiary, króry ma na celu jej uziemienie. Dzieje się tak przez zajęcie wszystkich wolnych zasobów. Aby przeprowadzić skuteczny atak DDoS atakujący musi dysponować sporą siecią komputerów. Przeważnie są to maszyny “zombie”, czyli takie, które przeprowadzają ataki, bez wiedzy ich właścicieli. Maszyny te zostały wcześniej zainfekowane przez złośliwe oprogramowanie przygotowane przez osoby przygotowujące botnet do przeprowadzenia ataków. Atakujący może na dany przez siebie sygnał skierować wszystkie zainfekowane komputery na obrany przez siebie cel ataku.

Największy w historii botnet powstał w maju 2009 roku. Nazywał się BredoLab i składał się z ponad 30 milionów zainfekowanych komputerów. Na znak atakującego wszystkie maszyny zaczynają jednocześnie zasypywać obrany cel fałszywymi próbami skorzystania z usług. W przypadku Allegro zapewne zaczynają one wchodzić na strony serwisu. Atakowany serwer przydziela każdemu nowemu użytkownikowi jakąś część zasobów. Dzieli pomiędzy setki tysięcy, a nawet miliony zapytań swoją pamięć, czas procesora oraz pasmo sieciowe. Przy ogromnej liczbie żądań z czasem zasoby te wyczerpują się i dochodzi do uziemienia systemu oraz całej usługi.

W tym roku serwis Allegro.pl padł ofiarą ataków DDoS 10 oraz 17 lutego 2013 roku. Pierwszy atak został tak opisany przez Rzecznika prasowego Grupy Allegro, Pawła Klimiuka:

Tydzień później, czyli 17 lutego sytuacja się powtórzyła. Serwis ponownie padł ofiarą ataku DDoS, podobnego do tego sprzed siedmiu dni. Część użytkowników stosunkowo szybko odzyskała dostęp do platformy handlowej. U innych awaria była odczuwalna przez wiele godzin. Po południu Allegro opublikowało na Facebooku informację podsumowującą problemy, z którymi serwis borykał się przez dłuższy czas.

Jednak wielu użytkowników nadal nie mogło skorzystać z serwisu aukcyjnego, dlatego Allegro zdecydowało się później na przedłużenie nie tylko ofert, które kończyły się podczas awarii, a wszystkich, które wtedy trwały.

W ten wtorek (02.04.2013r.) ataki DDoS na Allegro zostały ponowione. Serwis był niedostępny dla ogromnej części użytkowników. Z czasem udało się opanować sytuację i jak podają przedstawiciele Allegro, tylko 20% odwiedzających miało problemy z działaniem witryny. O komentarz w tej sprawie poprosiliśmy ponownie Rzecznika prasowego Allegro, Pawła Klimiuka:

Tak też się stało. Na swoim Facebooku Allegro poinformowało wieczorem, że wszystkie aukcje trwające oraz kończące się pomiędzy 10:16:00, a 16:21:59 zostaną przedłużone o 24 godziny. Zapowiedziano jednak, że w pierwszej kolejności przedłużone zostaną oferty kończące się w trakcie awarii. Dopiero w drugiej kolejności te, które miały się zakończyć w ciągu najbliższej doby. Kolejne aukcje miały być przedłużane w przeciągu najbliższych 2-3 dni. Tyle czasu miał zająć proces przedłużenia setek tysięcy aukcji. Niestety to nie był koniec problemów w środę i czwartek Allegro nadal borykało się z problemami.

Dlatego postanowiliśmy porozmawiać z przedstawicielami największej internetowej platformy handlowej w Polsce.

Mateusz Nowak, Spider’s Web: Czy wczorajsze i dzisiejsze problemy są również spowodowane atakiem DDoS?

Anna Tokarek, Grupa Allegro: Tak, mamy do czynienia z tym samym rodzajem incydentu, który na szczęście dla zdecydowanej większości użytkowników pozostają niezauważony. Nasz Dział IT pracował intensywnie nad zminimalizowaniem skutków tego typu zdarzeń. W sumie w ostatnich dwóch miesiącach mieliśmy do czynienia z około 4 atakami DDOS, które skutkowały dłuższą niedostępnością serwisu Allegro ale tylko dla części naszych Użytkowników. Wczoraj z problemami borykało się około 20% naszych użytkowników, pozostali nie mieli problemów z dostępem do serwisu.

Komunikujemy się z naszymi Użytkownikami na bieżąco poprzez nasz profil na Facebooku, Nowości i Komunikaty i Forum, informując ich o sytuacji i przedłużeniach ofert. Na tę chwilę wszyscy użytkownicy mają dostęp do Allegro. Natomiast ewentualnie z problemami mogą borykać się przede wszystkim abonenci pojedynczych providerów, pozostali użytkownicy nie powinni mieć już problemów z dostępem do serwisu.

Czy możecie zdradzić jak wyglądają schematy obrony przed takimi atakami?

Nie możemy zdradzić szczegółowych naszych działań. Dobieramy jednak narzędzia i rozwiązania, które najszybciej i najskuteczniej pomagają nam zneutralizować sytuację i zapewnić płynność działania serwisu w określonej sytuacji. Na tej płaszczyźnie współpracujemy też z najlepszymi, światowymi firmami. W ostatnich przypadkach współpracowaliśmy z firmą Prolexic.

Wiem, że działa mobilna wersja Allegro. Czy aukcje zostaną poprawnie sfinalizowane? Czy nie będzie tak, że potem przedłużycie aukcje i ktoś kto kupił przez mobilne allegro nie będzie musiał licytować ponownie?

Mobilna wersja Allegro działa, użytkownicy mogą bez problemu dokonywać zakupów. W przypadku awarii przedłużenie czasu trwania ofert czy licytacji obejmują również m.allegro. Najczęściej w tego typu przypadkach przedłużamy czas trwania ofert i licytacji o 24 godziny. Podkreślę jednak, że w przypadku awarii, licytacja w aukcji nie zaczyna się od początku, a od momentu kiedy została przerwana, wydłużony zostaje jedynie czas tej licytacji. Na tej stronie i na naszym Facebooku zawsze komunikujemy użytkownikom dokładny czas trwania awarii, podajemy również informacje które aukcje i oferty zostają przedłużone i na jaki czas.

Czytałem komentarz użytkownika, który pisał, że wylicytował jakiś przedmiot (rozumiem, że miał na myśli wygraną aukcję), a Allegro później przedłużyło czas aukcji i musiał na nowo brać udział w licytacji. Czy taki scenariusz jest możliwy?

Jeśli licytacja została przedłużona to użytkownik, który w chwili awarii prowadził w licytacji, po zakończeniu awarii nadal prowadzi, ale z racji tego, że aukcja została przedłużona, to oczywiście w toku dalszej licytacji inny użytkowników mógł przebić jego ofertę, natomiast nie ma możliwości aby w takiej sytuacji licytowanie trzeba było zaczynać od początku.

Dla jak dużej grupy klientów Allegro pozostaje teraz niedostępne?

Allegro jest obecnie dostępne dla wszystkich użytkowników. (taką odpowiedź otrzymałem o 15:21, 04.04.2013r. - przyp. red.)

Co się dzieje gdy Allegro jest dostępne tylko dla części użytkowników? Mówisz, że teraz działa wszędzie, u mnie o 15:45 nadal nie było dostępne.

Cały czas ze względów bezpieczeństwa pozostajemy w „trybie obronnym”. Nasze IT robi wszystko - np. kontaktuje się z poszczególnymi dostawcami usług internetowych w Polsce – aby w tym trybie jak największa liczba użytkowników mogła kupować i sprzedawać na Allegro.

Czy w takim przypadku aukcje nie powinny zostać np. wstrzymywane? Gdy jest awaria i 20% użytkowników nie może się połączyć z serwisem to sprzedający mają mniejsze szanse na sprzedanie przedmiotów za wyższe stawki. Ta brakująca część licytujących oscylująca około 1/5 wszystkich użytkowników zawsze generuje jakiś ruch na aukcjach. Jak działacie w takich sytuacjach, czy takie "częściowe" awarie są jakoś rekompensowane sprzedawcom?

Informujemy naszych użytkowników na bieżąco o sytuacji wszelkimi możliwymi i dostępnymi kanałami, w tym m.in. przez social media, co jest istotne zwłaszcza dla tych użytkowników, którzy nie mieli dostępu do serwisu. W takich sytuacjach każdy sposób na dotarcie z informacją do użytkowników jest ważny.

Natomiast postępowanie w sytuacjach awaryjnych jest szczegółowo opisane w naszym Regulaminie, w załączniku Polityka przerw technicznych oraz rekompensat za awarie techniczne. Za awarię techniczną uznaje się sytuację, w której zdecydowana większość lub wszyscy Użytkownicy utracili możliwość korzystania z podstawowych funkcji Allegro związanych z organizowaniem Transakcji, w szczególności nie mogli się zalogować, wystawić Towaru, złożyć oferty lub wyszukiwać Transakcji przy pomocy kluczowych metod dostępnych w Allegro. Jeśli mniejsza część użytkowników ma problemy z dostępem do Allegro zgodnie z Regulaminem nie obliguje nas to do przedłużenia ofert (w Regulaminie mowa jest o zdecydowanej większości Użytkowników).

Jednak każda sytuacja analizowana jest oddzielnie, sprawdzany jest też czas trwania awarii i jej zasięg. Jeśli była to przerwa przedłużająca się i miała duży impakt zarówno na działania serwisu jak i możliwości korzystania z niego wówczas podejmujemy decyzję wbrew regulaminowi, ale z korzyścią dla naszych użytkowników.

Allegro ma tak skonstruowany regulamin, że małe awarie nie mają wpływu na rekompensaty dla sprzedawców. W moim odczuciu jest to trochę niesprawiedliwe. Odcięcie od serwisu 20 czy 40% kupujących może w znaczący sposób odbić się na końcowych cenach w licytacjach. W związku z tym sprzedawcy potencjalnie mogą mniej zarobić.

Regulamin: Załącznik nr 3. Polityka przerw technicznych oraz rekompensat za awarie techniczne

Na plus działań ekipy Allegro należy zaliczyć dobrą komunikację w mediach społęcznościowych. Pracownicy odpowiedzialni za działania marketingowe zdają się odpowiadać na każdy nowy wątek i komentarz na Facebooku. Również na Twitterze pozostają aktywni. To się ceni.

Co jednak z samymi problemami technicznymi? Allegro nie chce udzielić informacji na temat tego jak mocne są ataki DDoS, ani skąd pochodzą. Jako że incydent ten stale się powtarza to można zrozumieć obawy przed udzielaniem jakichkolwiek informacji.

Wiele osób zarzuca firmie Beyond, że ich infrastruktura nie wytrzymuje ataków DDoS. Tutaj należy się pewne sprostowanie, gdyż serwery Allegro fizycznie znajdują się w serwerowaniach firmy Beyond, lecz ta zapewnia im wyłącznie zasilanie i miejsce w swoich czterech ścianach. Allegro korzysta z własnych przyłączy internetowych z wybranymi przez siebie dostawcami.

Allegro do pomocy przy obronie przed atakami DDoS skorzystało z rozwiązań firmy Prolexic. W efekcie wprowadzone zostały zmiany w strefie DNS allegro.pl. Jak donosi serwis Websecurity.pl już w środę wieczorem można było znaleźć w strefie DNS allegro.pl następujące informacje:

W rozmowie ze Spider’s Web Allegro potwierdziło współpracę z Prolexic oraz fakt, że dział IT kontaktował się i współpracował z największymi dostawcami usług internetowych w Polsce. Tymczasem na Facebooku nie brakuje zgłoszeń klientów dostawców takich jak UPC i Vectra, którzy mają nadal problemy z działaniem platformy handlowej. Sam mam Vectrę i przez większość czasu nie mogę wejść na stronę Allegro. Jak już raz na jakiś czas uda mi się nawiązać połączenie, to po zalogowaniu wszystko znowu pada.

Niebezpiecznik.pl dotarł do informacji od anonimowego informatora, który rzucił nieco światła na szczegóły dotyczące ataku. Odpowiada za niego osoba ukrywająca się pod pseudonimem Infinity. Siła ataku sięga 11Gbps, a za przeprowadzanie DDoSu Infinity miał dostać od zleceniodawcy około 370 dol. (25 dol / godz). Inny informator donosi, że za dzisiejsze ataki na mBank i Multibank odpowiada ta sama grupa osób, która DDoS-uje od czterech dni Allegro.

To prawda. Zaledwie trzy dni temu ING Bank Śląski padł ofiarą ataku DDoS. Dzisiaj niedostępne są strony mBanku oraz Milenium Banku. Prawdopodobną przyczyną jest również ten sam typ ataku.

Sprzedawcy mogą mieć pretensje do Allegro o nieprzedłużanie aukcji podczas mniejszych awarii. Regulamin serwisu zapewnia rekompensaty i przedłużanie terminu aukcji tylko wtedy, gdy awaria obejmuję większą część użytkowników. Przy małych awariach np rzędu 20-30% odciętych od witryny klientów, Allegro nie musi rekompensować takich incydentów. Z drugiej strony przedłużanie aukcji też nie jest idealnym rozwiązaniem. Cierpią na tym klienci. Na facebookowym profilu Allegro roi się od podobnych zgłoszeń Jeden z użytkowników napisał:

Drugi kupujący popiera zdanie przedmówcy:

Niektórzy się poddają. Tak, jak kolejna klientka, która wypowiedziała się w tym wątku:

Ciągłe przedłużanie się ofert aukcji bywa również niedobre dla sprzedawców. Nie mogą oni sprzedać swoich towarów w planowanym czasie. Wielu licytujących wycofuje się z zakupów ze względu na odwlekające się zakończenie aukcji. Tak sprawę opisuje na Facebooku Allegro jeden ze sprzedawców:

Jak widać wszystkim zależy na czasie. Zakupy przez internet powinny być szybkie i tanie. Takie zawsze były ich atuty. Teraz ceny rosną, a czas stale się przedłuża o kolejne 24 godziny.

Znane są też przypadki w których licytujący użytkownicy wygrali dane aukcje i otrzymali od serwisu Allegro maile z potwierdzeniami. Tymczasem aukcje zostały przedłużone i licytacja trwa nadal. Zwycięzcy, którzy wygrali przedmioty podczas pierwszych licytacji domagają się wydania przedmiotu po pierwotnie wylicytowanej cenie. Taką sytuację opisuje jeden ze sprzedawców na fanpage’u Allegro:

W sieci na stronie WspólnyPozew.com pojawiła się inicjatywa pozwu zbiorowego przeciw Allegro. W opisie wniosku pojawiły się takie argumenty:

Emocje, emocje, emocje. Głównie negatywne. Sprzedawcy i kupujący dają upust swojej frustracji w komentarzach na Facebooku i Twitterze. Ekipa Allegro stara się ratować wizerunek, odpowiadając w każdym nowym wątku i na bieżąco informując o aktualnej sytuacji. Mimo, że marketing mają dosyć dobry to niesmak wokół kilkudniowej niedostępności serwisu unosi się do teraz.

Rozmawiałem z zaprzyjaźnionym sprzedawcą, który chce pozostać anonimowy. Opowiedział mi o swoich problemach z Allegro. Zapytań od klientów jest tak dużo, że musiał ściągnąć z urlopu pracownika do odbierania telefonów i odpowiadania na maile. Nie brakuje zgłoszeń od osób, które wygrały sprzęt po niższej cenie, lecz licytacja została wznowiona i przedłużona. Paraliż komunikacyjny jest dość spory. Sprzedawcy nie są pewni co powinni zrobić z wygranymi aukcjami, które zostały przedłużone. Czy pierwszy zwycięzca jest prawomocnym nabywcą produktu?

Są też straty finansowe. Czas pracowników, którzy próbują wystawiać aukcje na działającym w kratkę serwisie swoje kosztuje. Jedyną zaletą jest to, że u mojego znajomego zaobserwowano zwiększony ruch na własnym sklepie internetowym. Wygląda na to, że stali klienci postanowili wrócić na zakupy nie przez Allegro, a poprzez zewnętrzny e-sklep.

To dobry znak, lecz nie każdy Allegrowicz ma na tyle silną i rozpoznawalną markę, aby mógł zauważyć zwiększony ruch na swoim własnym e-sklepie.

źródła: wikipedia, niebezpiecznik, websecurity