REKLAMA

Morele.net zhakowane. Wyciekła baza klientów, choć sklep zarzekał się, że jest bezpieczny

Dziś w nocy sklep Morele.net rozesłał maile do swoich klientów z informacją o „nieuprawnionym dostępie”. Z bazy sklepu internetowego wyciekły: maile, numery telefonów, imiona i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).

Morele.net zhakowane. Wyciekły dane osobowe klientów
REKLAMA

Jak informuje Morele.net, bezpieczne są informacje o kartach płatniczych, loginach do banków czy wnioskach ratalnych, bo znajdują się w innych bazach danych.

REKLAMA
 class="wp-image-858749"

Morele zatamowały wyciek.

Sklep zawiadomił również Urząd Ochrony Danych Osobowych i złożył zawiadomienie o możliwości popełnienia przestępstwa. Jak zawsze wobec wycieku danych zalecane jest zwiększenie ostrożności wobec podejrzanych wiadomości i zmiana haseł (jeśli takiego samego jak w Morelach używaliśmy również w innych miejscach).

Czy zhakowanie Moreli ma związek z naciągaczami SMS?

Pod koniec listopada sklep ostrzegał przed SMS-ami proszącymi o dopłatę złotówki do zamówienia. Oszuści mieli wysyłać do klientów wiadomości z linkiem do podstawionej strony DotPay, przejmować login i hasło do konta, a następnie dodawać się jako odbiorca zaufany i wypłacać środki.

Byłaby to akcja jakich wiele, gdyby nie fakt, że klienci dostawali SMS-y zaraz po faktycznym złożeniu zamówienia na Morele.net, co oznaczało, że oszuści mają dostęp do bazy danych i zaciągają informacje w czasie rzeczywistym.

Morele zarzekały się, że nie są źródłem danych.

W pierwszej wersji oświadczenia mogliśmy przeczytać:

Po aktualizacji oświadczenia 6 grudnia informacja ta zniknęła:

 class="wp-image-858725"

Choć sklep nie przyznaje otwarcie, że oba incydenty są ze sobą połączone, to najprawdopodobniej właśnie tak jest. Hipotetyczny scenariusz mógłby wyglądać w sposób następujący:

  • Hakerzy włamują się do bazy Morele i rozsyłają celowaną kampanię phishingową.
  • Sklep nie może zlokalizować wycieku i ostrzega klientów przed oszustami.
  • Hakerzy nadal korzystają z danych. Niebezpiecznik wspomina o SMS-ie z 28 listopada – prawie tydzień po pierwszych doniesieniach o ataku.
  • Morele wykrywa wyciek. Kiedy dokładnie – nie wiadomo. Sklep ma trzy dni na poinformowanie o takim fakcie UODO, ale rozporządzenie nie nakłada ścisłego terminu w stosunku do zawiadomienia poszkodowanych klientów.
REKLAMA

Opieszałość sklepu w wykryciu dziury w zabezpieczeniach mogła narazić klientów na utratę znacznych funduszy.

Jedyną jasną stroną tej historii jest fakt, że Morele w transparentny sposób dzieliły się z klientami smutną informacją. Jeśli ktoś nie sprawdza jednak regularnie skrzynki pocztowej, to witryna sklepu nie powita go dosadnym banerem, a jedynie niewielkim nagłówkiem informującym o konieczności zmiany hasła, ginącym w zalewie informacji o produktach:

 class="wp-image-858731"
REKLAMA
Najnowsze
Aktualizacja: 2025-07-03T16:30:24+02:00
Aktualizacja: 2025-07-03T16:06:16+02:00
Aktualizacja: 2025-07-03T15:43:02+02:00
Aktualizacja: 2025-07-03T15:11:01+02:00
Aktualizacja: 2025-07-03T14:55:43+02:00
Aktualizacja: 2025-07-03T13:27:46+02:00
Aktualizacja: 2025-07-03T10:12:38+02:00
Aktualizacja: 2025-07-03T08:20:05+02:00
Aktualizacja: 2025-07-03T07:00:00+02:00
Aktualizacja: 2025-07-03T06:22:00+02:00
Aktualizacja: 2025-07-03T06:11:00+02:00
Aktualizacja: 2025-07-02T21:13:39+02:00
Aktualizacja: 2025-07-02T19:07:30+02:00
Aktualizacja: 2025-07-02T18:41:11+02:00
Aktualizacja: 2025-07-02T17:48:47+02:00
Aktualizacja: 2025-07-02T17:15:46+02:00
Aktualizacja: 2025-07-02T16:31:51+02:00
Aktualizacja: 2025-07-02T15:52:23+02:00
Aktualizacja: 2025-07-02T15:04:04+02:00
Aktualizacja: 2025-07-02T13:48:05+02:00
Aktualizacja: 2025-07-02T12:07:51+02:00
Aktualizacja: 2025-07-02T11:38:28+02:00
REKLAMA
REKLAMA
REKLAMA