Morele.net zhakowane. Wyciekła baza klientów, choć sklep zarzekał się, że jest bezpieczny

Dziś w nocy sklep Morele.net rozesłał maile do swoich klientów z informacją o „nieuprawnionym dostępie”. Z bazy sklepu internetowego wyciekły: maile, numery telefonów, imiona i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).

Jak informuje Morele.net, bezpieczne są informacje o kartach płatniczych, loginach do banków czy wnioskach ratalnych, bo znajdują się w innych bazach danych.

Morele zatamowały wyciek.

(...) uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych – czytamy w oświadczeniu.

Sklep zawiadomił również Urząd Ochrony Danych Osobowych i złożył zawiadomienie o możliwości popełnienia przestępstwa. Jak zawsze wobec wycieku danych zalecane jest zwiększenie ostrożności wobec podejrzanych wiadomości i zmiana haseł (jeśli takiego samego jak w Morelach używaliśmy również w innych miejscach).

Czy zhakowanie Moreli ma związek z naciągaczami SMS?

Pod koniec listopada sklep ostrzegał przed SMS-ami proszącymi o dopłatę złotówki do zamówienia. Oszuści mieli wysyłać do klientów wiadomości z linkiem do podstawionej strony DotPay, przejmować login i hasło do konta, a następnie dodawać się jako odbiorca zaufany i wypłacać środki.

Byłaby to akcja jakich wiele, gdyby nie fakt, że klienci dostawali SMS-y zaraz po faktycznym złożeniu zamówienia na Morele.net, co oznaczało, że oszuści mają dostęp do bazy danych i zaciągają informacje w czasie rzeczywistym.

Morele zarzekały się, że nie są źródłem danych.

W pierwszej wersji oświadczenia mogliśmy przeczytać:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.

Po aktualizacji oświadczenia 6 grudnia informacja ta zniknęła:

Choć sklep nie przyznaje otwarcie, że oba incydenty są ze sobą połączone, to najprawdopodobniej właśnie tak jest. Hipotetyczny scenariusz mógłby wyglądać w sposób następujący:

• Hakerzy włamują się do bazy Morele i rozsyłają celowaną kampanię phishingową.
• Sklep nie może zlokalizować wycieku i ostrzega klientów przed oszustami.
• Hakerzy nadal korzystają z danych. Niebezpiecznik wspomina o SMS-ie z 28 listopada – prawie tydzień po pierwszych doniesieniach o ataku.
• Morele wykrywa wyciek. Kiedy dokładnie – nie wiadomo. Sklep ma trzy dni na poinformowanie o takim fakcie UODO, ale rozporządzenie nie nakłada ścisłego terminu w stosunku do zawiadomienia poszkodowanych klientów.

Opieszałość sklepu w wykryciu dziury w zabezpieczeniach mogła narazić klientów na utratę znacznych funduszy.

Jedyną jasną stroną tej historii jest fakt, że Morele w transparentny sposób dzieliły się z klientami smutną informacją. Jeśli ktoś nie sprawdza jednak regularnie skrzynki pocztowej, to witryna sklepu nie powita go dosadnym banerem, a jedynie niewielkim nagłówkiem informującym o konieczności zmiany hasła, ginącym w zalewie informacji o produktach: