Sklep Morele.net nie zapłacił, więc wykradzione dane 2,5 mln klientów trafiły do sieci
Na nieszczęsnych klientów Morele.net spadł kolejny cios. Skradziona ze sklepu internetowego baza danych została opublikowana w internecie.
Oczywiście wiem, że nie korzystacie nigdzie z takich samych haseł do różnych sklepów, ale jeśli tym razem jakoś tak się zdarzyło, że gdziekolwiek macie podobne, jak na Morele.net, to je zmieńcie. I uważajcie na podejrzane SMS-y.
O tym, że baza danych Morele.net została skradziona, oficjalnie dowiedzieliśmy się 18 grudnia. To wtedy firma zaczęła wysyłać do swoich klientów listy informujące o tym, że powierzone im dane dostały się w niepowołane ręce. W bazie znajdowały się adresy mailowe, numery telefonów, imiona i nazwiska klientów oraz ich zahashowane hasła.
Informacja od firmy nie była jednak ani początkiem, ani końcem kilkumiesięcznej przygody pod tytułem Niesamowita Historia Wykradzionej Bazy Morele.net.
Ataki na użytkowników Morele.net zaczęły się już w listopadzie. Klienci sklepu dostawali SMS-y informujące, że muszą dopłacić złotówkę do transakcji.
Już w listopadzie zeszłego roku pojawiały się podejrzenia, że ktoś nie tylko posiada danych klientów sklepu, ale też nie waha się z nich skorzystać.
Atak wyglądał całkiem wiarygodnie. Gdy tylko klient kupił coś na Morele.net, niemal natychmiast dostawał SMS-a od oszusta. W wiadomości informowano o tym, że klient koniecznie musi dopłacić złotówkę do złożonego zamówienia. Ponieważ kwota była śmiesznie mała, niewiele osób zastanawiało się nad tym, czy rzeczywiście się firmie należy.
W wiadomości znajdował się link do podstawionej przez oszustów strony DotPay. Niczego niepodejrzewająca ofiara klikała w niego. Tam wybierała bank, z którego chce przelać pieniądze. Wchodząc na fałszywą stronę banku, przekazywała przestępcy login i hasło. Wysyłając przelew, potwierdzała dodanie przestępcy do listy zaufanych odbiorców. Dzięki temu mógł on od tego momentu bez problemu czyścić jej konto.
Oczywiście zachowując odpowiednie środki ostrożności, sprawdzając pieczołowicie adresy i czytając dokładnie SMS-y z banku, klienci mogli się ustrzec przed kradzieżą. To jednak był gorący okres zakupowy, a cały przekręt wyglądał naprawdę wiarygodnie.
Morele.net najpierw zaprzeczyło, a potem próbowało łagodzić skutki wycieku.
W pierwszej chwili Morele.net wyparło się wszystkiego. Firma wystosowała oświadczenie, z którego wynikało, że podejrzane SMS-y nie mają nic wspólnego z jej bazą danych. Fakt, że klienci dostawali je tuż po zakupie u nich w sklepie, był zwykłą zbieznością czasową i dziełem przypadku. Ot, jeśli bardzo dużo fałszywych SMS-ów wysyła się do ludzi, to czasami trafią w moment, kiedy ci akurat dokonywali zakupów. Proste.
Niestety szybka analiza wejść na fałszywe strony z DotPay wskazała, że o masowym ataku raczej nie może być mowy. W serwisie Wykop Morele nieco złamało tę linię obrony i zaczęło podsuwać internautom trop z wyciekiem z bazy jednego z partnerów.
Dopiero 6 grudnia Morele.net w mailach do swoich klientów przyznało, że jednak dzieje się coś złego. Firma zapowiedziała, że bada sprawę. Nawet na stronie głównej sklepu umieściło widoczną na pierwszy rzut oka i wyeksponowaną informację o tym, że jego użytkownicy powinni zmienić hasło do konta.
Firma miała w obowiązku w ciągu 27 godzin od rozpoznania wycieku poinformować o nim PUDOD, a nie swoich klientów, więc nie można jej zarzucić nieprzestrzegania prawa. W końcu jednak zdecydowała się na wystosowanie do swoich użytkowników maili, i choć z pewnością mogłyby być one lepiej napisane, wysłane wcześniej, a towarzyszyć im powinna widoczna informacja na stronie głównej, Morele zachowało się całkiem w porządku.
Przestępca Morele.net i sponsorował youtuberów.
Jeszcze w grudniu na Wykopie użytkownik podpisujący się Arm chciał zmonetyzować wykradzioną bazę danych bardziej bezpośrednio. Za milczenie zażądał od firmy 15 bitcoinów, czyli bagatela 225 tys. zł. Po negocjacjach ze sklepem zgodził się na normalny przelew w bardziej tradycyjnej walucie, ale ten miałby już kosztować 500 tys. zł. Morele.net próbowało namierzyć IP złodzieja, ale te starania spaliły na panewce. Negocjacje rozwiązano, szefowie Morele.net wrócili do nerwowego obgryzania paznokci, a oszust postanowił zająć się mecenatem sztuki.
Niebezpiecznik opisywał w lutym, gdy sprawa już nieco przycichła, że troje streamujących na żywo youtuberów dostało od użytkownika xArma kolejno 25 999 zł, 23 0000 i 5 500 zł napiwku. Pieniądze miały jakoby pochodzić ze sprzedaży w darknecie bazy klientów Morele.net.
Dziś prawdopodobnie dochodzimy do finałowego odcinka sagi wyciek Morele.net. Niestety nie ma tu szczęśliwego zakończenia. Jak donosi Zaufana Trzecia Strona, baza danych została już opublikowana w internecie. Jeśli korzystaliście z Morele.net i jakimś cudem nadal używanie gdzieś hasła, które tam wykorzystaliście, zmieńcie je. Szybko.