Wyciek danych z morele.net. Zobacz, co może ci grozić

Wyciek danych z morele.net. Zobacz, co może ci grozić18.04.2019 13:18
Źródło zdjęć: © Materiały prasowe

Baza zawierająca dane 2,5 mln klientów trafiła do sieci. To pokłosie wycieku danych z internetowego sklepu morele.net, do którego firma przyznała się w grudniu 2018 roku. Dopiero teraz zacznie się prawdziwa lawina problemów - oszuści nie muszą znać twojego hasła, żeby próbować zrobić ci krzywdę w sieci.

Wszystko zaczęło się w listopadzie 2018 roku. Klienci sklepu internetowego morele.net zaraz po zakupach zaczęli dostawać niepokojące SMS-y, proszące o dopłatę 1 zł do zamówienia. Była to sprawka oszustów, którzy podszywali się pod sklep - link pozwalający spłacić "dług" prowadził rzecz jasna do podstawionej strony. Wówczas nie wiadomo było, jak to się stało, że złodzieje pisali akurat do tych klientów, którzy rzeczywiście dokonali zakupów. Przypadek? To sugerował w listopadzie sklep.

"Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu" - informowało wówczas morele.net, sugerując, że oszuści wysyłają wiadomości na chybił trafił. I akurat tak się złożyło, że mieli niesamowitą skuteczność.

Znamienne jest to, że tego ostrzeżenia na stronie morele.net już nie znajdziemy. Za to w grudniu 2018 roku na jaw wyszło, że sklep padł ofiarą ataku hakerskiego i że wyciekła baza klientów. W oświadczeniu zamieszczonym 18 grudnia 2018 mogliśmy przeczytać:

Zobacz też: redakcja WP Tech radzi, jak chronić swoje dane

"Drogi Kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również twoich danych. Dostęp został wykryty i zablokowany".

Dwa dni później dodano, że "nieuprawniony dostęp mógł dotyczyć również danych związanych z zamówieniami:. data zamówienia, nr zamówienia, wartości zamówienia, sposób płatności oraz dostawy, informacje o zamówionych towarach, komentarze do zamówień".

Dziś już wiemy, że w opublikowanej w darknecie bazie danych 2,5 mln klientów póki co tych szczegółów nie ma. Baza składa się z takich informacji jak imię, nazwisko, adres mailowy, hash hasła oraz numer telefonu. Ostatnie konta w pliku pochodzą z ok. 10 października 2018.

Na początku morele.net rzeczywiście uważało, że to nie oni są źródłem wycieku - pisała Zaufana Trzecia Strona w grudniu, kiedy w końcu oficjalnie Grupa Morele poinformowała o incydencie. Sklep rzecz jasna zgłosił sprawę do Urzędu Ochrony Danych Osobowych, a także złożył zawiadomienie o możliwości popełnienia przestępstwa.

Wyciek w morele.net. Co na to RODO?

A co z RODO i koniecznością szybkiego poinformowania o incydencie? Niebezpiecznik przypomniał, że zgodnie z GDPR administrator danych ma 72 godziny na powiadomienie, ale nie ofiar, a UODO. Ale to nie oznacza, że ewentualnych kart Grupa Morele nie poniesie.

Sprawa wycieku z morele.net trafiła pod lupę prezesa Urzędu Ochrony Danych Osobowych na początku 2019 roku. W styczniu na stronie UODO napisano, że "prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych". Wszystko zależy więc od wyników śledztwa UODO.

Kto stoi za atakiem na morele.net?

Atakiem chwalił się w grudniu 2018 roku cracker podpisujący się pseudonimem "xArm". Jak sam zdradził, przez przypadek natknął się na niezabezpieczony serwer należący do grupy Morele.net. Próbował negocjować z właścicielami sklepu, domagając się okupu.

Skontaktował się ze sklepem pod koniec listopada, żądając wpłaty w bitoinach o równowartości ponad 225 tys. zł. Sklep zaczął grać na zwłokę, aż w jednej z wiadomości zaszył kod śledzący. Zorientowawszy się o tym, napastnik podniósł cenę do 20 BTC, czyli ponad 300 tys. zł. Sklep odpowiedział inną formą ugody, a mianowicie propozycją zatrudnienia. Cały zapis rozmowy można znaleźć w poście zamieszczonym na łamach Wykopu.

Wyciek morele.net - okup miał trafić na konto akcji charytatywnej

Co ciekawe, ten konkretny sprawca jasno deklarował brak powiązań z próbami wyłudzeń metodą "na 1 zł". Dowodem na to, że nie interesowały go pieniądze, miało być jego inne żądanie. Cracker chciał, by okup trafił na konto wybranej… akcji charytatywnej. Żądania włamywacza nie zostały spełnione, a on sam z czasem zaczął rozdawać pieniądze polskim youtuberom i streamerom gier.

Adam Haertle, redaktor naczelny serwisu Zaufana Trzecia Strona, sugerował, że Grupa Morele postąpiła dobrze nie spełniając żądań włamywacza. I tak powinien postępować każdy, kogo oszuści szatanżują - nigdy nie mamy pewności, że po wpłaceniu okupu dotrzymają słowa. Może się okazać, że będzie wprost przeciwnie - podniosą stawkę, wiedząc, że skoro zdecydowaliśmy się zapłacić, to znaczy, że możemy głębiej sięgnąć do portfela.

"Znam wiele przypadków, gdzie szantażowane firmy do ostatniej sekundy przez publikacją danych przez włamywacza udawały, że nic się nie stało. Morele.net wysłały komunikację do swoich klientów (być może opóźnioną, ale istnieje chociażby przesłanka toczącego się w tej sprawie postępowania, uzasadniająca opóźnienie), jednocześnie wytrącając z ręki szantażysty bardzo ważny argument. Zapewne sprowokowało to przestępcę do eskalacji konfliktu przez publikację szczegółów negocjacji" - pisał Haertle, chwaląc sklep, który najpierw szukał winy gdzie indziej, a potem wziął sprawy w swoje ręce.

Atak na morele.net: co teraz?

Mleko się już rozlało. Jeżeli nie posłuchaliście apelu sklepu, by jak najszybciej zmienić hasło w serwisach, jeśli korzystaliście z tej samej kombinacji, co na morele.net, to teraz macie najprawdopodobniej ostatnią szansę. Na stronie haveibeenpwned.com sprawdzicie, czy nie jest na to za późno - to darmowa witryna, która pozwala zorientować się, czy nasze hasła i loginy nie wydostały się do sieci.

Pod koniec 2018 roku wyszło na jaw, że włamywacz złamał już 350 tys. zdobytych dzięki wyciekowi haseł. Poznanie kombinacji użytkowników to najgorsza rzecz, która może ich spotkać. Szczególnie, gdy te trafiły na czarny rynek. Przestępcy od razu zaczną sprawdzać, czy hasło na morele.net nie pasuje na Facebooku, Allegro czy Netflksie. Przejęte w ten sposób można wykorzystać do dalszych oszustw, np. wystawiania fałszywych przedmiotów.

Albo popularnego ostatnio oszustwa "na BLIK-a". Mając dostęp do waszego Facebooka przestępca, podszywając się pod was, będzie prosił znajomych o wypłatę środków za pomocą tej usługi. Już nie brakuje oszukanych na tysiące złotych.

Prośba od "znajomego". Nie pożyczaj. Bank ostrzega

Według informacji ujawnionych przez "ZTS", w bazie danych nie ma takich informacji klientów morele.net jak adresy dostawy czy też szczegółów związanych z płatnościami. Na wszelki wypadek warto jednak założyć, że i to może wpaść w ręce przestępców.

To daje pole do rozwijania kampanii. O ile większość może już nie nabrać się na SMS od kuriera, tak jeśli w wiadomości będzie podany adres przesyłki - wówczas łatwiej będzie uwierzyć w taki komunikat. Podobnie sprawa ma się np. z mailami informującymi o odcięciu dostępu do internetu. Wiadomość, w której podany jest dokładny adres zamieszkania, wzbudza większe zaufanie.

Nie mówiąc już o tym, że oszuści mogą też przejąć konta mailowe użytkowników morele.net (zakładając, że ofiary miały te same hasła) i dowiedzieć się więcej na temat swoich celów. Wtedy łatwiej tworzyć spersonalizowane, wiarygodnie brzmiące przekręty.

Banalny sposób na telemarketerów. Jedno zdanie i sami się rozłączają

Fakt, że wykradziona baza danych, zawierająca m.in. numery telefonów i adresy mailowe, może też oznaczać prawdziwą lawinę spamu. Obawiać więc należy się nie tylko fałszywych wiadomości i SMS-ów (które najczęściej przychodzą we wtorki), ale też różnych reklamowych ofert. Taką bazą zapewne zainteresowani są nie tylko oszuści.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA