Morele.net zhakowane. Wyciekła baza klientów, choć sklep zarzekał się, że jest bezpieczny
Dziś w nocy sklep Morele.net rozesłał maile do swoich klientów z informacją o „nieuprawnionym dostępie”. Z bazy sklepu internetowego wyciekły: maile, numery telefonów, imiona i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).
Jak informuje Morele.net, bezpieczne są informacje o kartach płatniczych, loginach do banków czy wnioskach ratalnych, bo znajdują się w innych bazach danych.
Morele zatamowały wyciek.
(...) uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych – czytamy w oświadczeniu.
Sklep zawiadomił również Urząd Ochrony Danych Osobowych i złożył zawiadomienie o możliwości popełnienia przestępstwa. Jak zawsze wobec wycieku danych zalecane jest zwiększenie ostrożności wobec podejrzanych wiadomości i zmiana haseł (jeśli takiego samego jak w Morelach używaliśmy również w innych miejscach).
Czy zhakowanie Moreli ma związek z naciągaczami SMS?
Pod koniec listopada sklep ostrzegał przed SMS-ami proszącymi o dopłatę złotówki do zamówienia. Oszuści mieli wysyłać do klientów wiadomości z linkiem do podstawionej strony DotPay, przejmować login i hasło do konta, a następnie dodawać się jako odbiorca zaufany i wypłacać środki.
Byłaby to akcja jakich wiele, gdyby nie fakt, że klienci dostawali SMS-y zaraz po faktycznym złożeniu zamówienia na Morele.net, co oznaczało, że oszuści mają dostęp do bazy danych i zaciągają informacje w czasie rzeczywistym.
Morele zarzekały się, że nie są źródłem danych.
W pierwszej wersji oświadczenia mogliśmy przeczytać:
Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.
Po aktualizacji oświadczenia 6 grudnia informacja ta zniknęła:
Choć sklep nie przyznaje otwarcie, że oba incydenty są ze sobą połączone, to najprawdopodobniej właśnie tak jest. Hipotetyczny scenariusz mógłby wyglądać w sposób następujący:
- Hakerzy włamują się do bazy Morele i rozsyłają celowaną kampanię phishingową.
- Sklep nie może zlokalizować wycieku i ostrzega klientów przed oszustami.
- Hakerzy nadal korzystają z danych. Niebezpiecznik wspomina o SMS-ie z 28 listopada – prawie tydzień po pierwszych doniesieniach o ataku.
- Morele wykrywa wyciek. Kiedy dokładnie – nie wiadomo. Sklep ma trzy dni na poinformowanie o takim fakcie UODO, ale rozporządzenie nie nakłada ścisłego terminu w stosunku do zawiadomienia poszkodowanych klientów.
Opieszałość sklepu w wykryciu dziury w zabezpieczeniach mogła narazić klientów na utratę znacznych funduszy.
Jedyną jasną stroną tej historii jest fakt, że Morele w transparentny sposób dzieliły się z klientami smutną informacją. Jeśli ktoś nie sprawdza jednak regularnie skrzynki pocztowej, to witryna sklepu nie powita go dosadnym banerem, a jedynie niewielkim nagłówkiem informującym o konieczności zmiany hasła, ginącym w zalewie informacji o produktach:
