Morele.net z poważną wpadką. Dane na wyciągnięcie ręki hakerów
Wygląda na to, że sklep Morele.net nie uczy się na błędach. Dane klientów były narażone na przejęcie przez cyberprzestępców. Wystarczyło kilka kliknięć.
Wszystko zaczęło się od sytuacji opisanej przez użytkownika podpisującego się jako Norsu, który zauważył błędne działanie formularza zakupów ratalnych na stronie Morele.net. Niewielka anomalia w dacie wystarczyła, żeby móc przyglądać się bliżej strukturze strony i odkryć poważną lukę. Wystarczyło zmienić numer ID w adresie URL, by zobaczyć dane innego zamówienia (przypisany do niego adres email i numer telefonu).
Można było przeglądać szczegóły zamówień nawet sprzed kilku lat
Jak podaje serwis zaufanatrzeciastrona.pl, błąd działał niezależnie od daty składanego zamówienia. Można było zatem przeglądać informacje nawet z zamówienia sprzed kilku lat. Co ważne, nie trzeba było mieć zaawansowanych umiejętności hakerskich. Wystarczyło mieć aktywne konto użytkownika, zalogować się i zmienić numer ID zamówienia w adresie https://morele.net/raty/[ID ZAMÓWIENIA].
Serwis poprosił o komentarz przedstawicieli Morele.net. W odpowiedzi dostał zapewnienia, że luka została niezwłocznie załatana. Poniżej pełna treść.
Po otrzymaniu zgłoszenia o podatności formularza ratalnego, nasze zespoły Security i IT zareagowały natychmiastowo i niezwłocznie zweryfikowały zgłoszoną sytuację. Podatność została potwierdzona i usunięta w ciągu 2 godzin od jej zgłoszenia. Przeprowadzona analiza wykazała, że ewentualne wykorzystanie podatności było ograniczone i wymagało jednoczesnego spełnienia kilku warunków – posiadania konta użytkownika, zalogowania się do systemu oraz wpisania numeru zamówienia. Podatność umożliwiała dostęp tylko i wyłącznie do wyświetlenia adresu e-mail oraz numeru telefonu.
Nasz dział Security, we współpracy z zespołem IT, dokładnie przeanalizował sytuację i jednoznacznie potwierdziliśmy, że nie doszło do wykorzystania podatności w celu nieuprawnionego pozyskania danych. Podatność została użyta wyłącznie w celach weryfikacyjnych przez zgłaszającego oraz dziennikarza, a wszelkie działania mieściły się w granicach odpowiedzialnego ujawnienia. Bezpieczeństwo danych Klientów jest dla Morele.net absolutnym priorytetem.
Nieustannie wdrażamy i rozwijamy rozwiązania podnoszące poziom bezpieczeństwa naszych systemów, aby skutecznie minimalizować ryzyko pojawiania się podobnych podatności w przyszłości. Dziękujemy za odpowiedzialne i szybkie zgłoszenie – tego typu sygnały pozwalają nam natychmiast reagować oraz jeszcze skuteczniej chronić dane naszych Klientów. Współpraca i zgłaszanie podatności przez użytkowników wpisuje się w najlepsze praktyki rynkowe, które stanowią ważny element ciągłego doskonalenia zabezpieczeń IT.
Morele znów na celowniku
To nie pierwszy raz, gdy dane klientów sieci Morele stały się dostępne dla osób trzecich. Przypomnijmy, że w 2018 r. hakerzy wykradli dane ponad 2 mln kont użytkowników, a informacje te, wraz z loginami i hasłami, trafiły do sieci. Od tamtej pory firma deklarowała wdrożenie wyższych standardów bezpieczeństwa.
Przeczytaj także:
Obecna sytuacja pokazuje jednak, że nawet najlepiej przygotowane procedury mogą zawieść, jeśli codzienne praktyki nie nadążają za tym, co się obiecuje. Tym razem nie trzeba było nawet łamać zabezpieczeń. Wystarczyło wpisać inny numer zamówienia, żeby dostać się do cudzych danych. Brzmi to jak scenariusz z czasów początku internetu, a nie z 2025 r.
*Źródło zdjęcia głównego: wutzkohphoto/shutterstock.com
