Wyciek danych z morele.net. Zobacz, co może ci grozić
Baza zawierająca dane 2,5 mln klientów trafiła do sieci. To pok łosie wycieku danych z internetowego sklepu morele.net, do którego firma przyznała się w grudniu 2018 roku. Dopiero teraz zacznie się prawdziwa lawina problemów - oszuści nie muszą znać twojego hasła, żeby próbować zrobić ci krzywdę w sieci.
Wszystko zaczęło się w listopadzie 2018 roku. Klienci sklepu internetowego morele.net zaraz po zakupach zaczęli dostawać niepokojące SMS-y, proszące o dopłatę 1 zł do zamówienia. Była to sprawka oszustów, którzy podszywali się pod sklep - link pozwalający spłacić "dług" prowadził rzecz jasna do podstawionej strony. Wówczas nie wiadomo było, jak to się stało, że złodzieje pisali akurat do tych klientów, którzy rzeczywiście dokonali zakupów. Przypadek? To sugerował w listopadzie sklep.
"Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu" - informowało wówczas morele.net, sugerując, że oszuści wysyłają wiadomości na chybił trafił. I akurat tak się złożyło, że mieli niesamowitą skuteczność.
Znamienne jest to, że tego ostrzeżenia na stronie morele.net już nie znajdziemy. Za to w grudniu 2018 roku na jaw wyszło, że sklep padł ofiarą ataku hakerskiego i że wyciekła baza klientów. W oświadczeniu zamieszczonym 18 grudnia 2018 mogliśmy przeczytać:
"Drogi Kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również twoich danych. Dostęp został wykryty i zablokowany".
Dwa dni później dodano, że "nieuprawniony dostęp mógł dotyczyć również danych związanych z zamówieniami:. data zamówienia, nr zamówienia, wartości zamówienia, sposób płatności oraz dostawy, informacje o zamówionych towarach, komentarze do zamówień".
Dziś już wiemy, że w opublikowanej w darknecie bazie danych 2,5 mln klientów póki co tych szczegółów nie ma. Baza składa się z takich informacji jak imię, nazwisko, adres mailowy, hash hasła oraz numer telefonu. Ostatnie konta w pliku pochodzą z ok. 10 października 2018.
Na początku morele.net rzeczywiście uważało, że to nie oni są źródłem wycieku - pisała Zaufana Trzecia Strona w grudniu, kiedy w końcu oficjalnie Grupa Morele poinformowała o incydencie. Sklep rzecz jasna zgłosił sprawę do Urzędu Ochrony Danych Osobowych, a także złożył zawiadomienie o możliwości popełnienia przestępstwa.
Wyciek w morele.net. Co na to RODO?
A co z RODO i koniecznością szybkiego poinformowania o incydencie? Niebezpiecznik przypomniał, że zgodnie z GDPR administrator danych ma 72 godziny na powiadomienie, ale nie ofiar, a UODO. Ale to nie oznacza, że ewentualnych kart Grupa Morele nie poniesie.
Sprawa wycieku z morele.net trafiła pod lupę prezesa Urzędu Ochrony Danych Osobowych na początku 2019 roku. W styczniu na stronie UODO napisano, że "prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych". Wszystko zależy więc od wyników śledztwa UODO.
Kto stoi za atakiem na morele.net?
Atakiem chwalił się w grudniu 2018 roku cracker podpisujący się pseudonimem "xArm". Jak sam zdradził, przez przypadek natknął się na niezabezpieczony serwer należący do grupy Morele.net. Próbował negocjować z właścicielami sklepu, domagając się okupu.
Skontaktował się ze sklepem pod koniec listopada, żądając wpłaty w bitoinach o równowartości ponad 225 tys. zł. Sklep zaczął grać na zwłokę, aż w jednej z wiadomości zaszył kod śledzący. Zorientowawszy się o tym, napastnik podniósł cenę do 20 BTC, czyli ponad 300 tys. zł. Sklep odpowiedział inną formą ugody, a mianowicie propozycją zatrudnienia. Cały zapis rozmowy można znaleźć w poście zamieszczonym na łamach Wykopu.
Wyciek morele.net - okup miał trafić na konto akcji charytatywnej
Co ciekawe, ten konkretny sprawca jasno deklarował brak powiązań z próbami wyłudzeń metodą "na 1 zł". Dowodem na to, że nie interesowały go pieniądze, miało być jego inne żądanie. Cracker chciał, by okup trafił na konto wybranej… akcji charytatywnej. Żądania włamywacza nie zostały spełnione, a on sam z czasem zaczął rozdawać pieniądze polskim youtuberom i streamerom gier.
Adam Haertle, redaktor naczelny serwisu Zaufana Trzecia Strona, sugerował, że Grupa Morele postąpiła dobrze nie spełniając żądań włamywacza. I tak powinien postępować każdy, kogo oszuści szatanżują - nigdy nie mamy pewności, że po wpłaceniu okupu dotrzymają słowa. Może się okazać, że będzie wprost przeciwnie - podniosą stawkę, wiedząc, że skoro zdecydowaliśmy się zapłacić, to znaczy, że możemy głębiej sięgnąć do portfela.
"Znam wiele przypadków, gdzie szantażowane firmy do ostatniej sekundy przez publikacją danych przez włamywacza udawały, że nic się nie stało. Morele.net wysłały komunikację do swoich klientów (być może opóźnioną, ale istnieje chociażby przesłanka toczącego się w tej sprawie postępowania, uzasadniająca opóźnienie), jednocześnie wytrącając z ręki szantażysty bardzo ważny argument. Zapewne sprowokowało to przestępcę do eskalacji konfliktu przez publikację szczegółów negocjacji" - pisał Haertle, chwaląc sklep, który najpierw szukał winy gdzie indziej, a potem wziął sprawy w swoje ręce.
Atak na morele.net: co teraz?
Mleko się już rozlało. Jeżeli nie posłuchaliście apelu sklepu, by jak najszybciej zmienić hasło w serwisach, jeśli korzystaliście z tej samej kombinacji, co na morele.net, to teraz macie najprawdopodobniej ostatnią szansę. Na stronie haveibeenpwned.com sprawdzicie, czy nie jest na to za późno - to darmowa witryna, która pozwala zorientować się, czy nasze hasła i loginy nie wydostały się do sieci.
Pod koniec 2018 roku wyszło na jaw, że włamywacz złamał już 350 tys. zdobytych dzięki wyciekowi haseł. Poznanie kombinacji użytkowników to najgorsza rzecz, która może ich spotkać. Szczególnie, gdy te trafiły na czarny rynek. Przestępcy od razu zaczną sprawdzać, czy hasło na morele.net nie pasuje na Facebooku, Allegro czy Netflksie. Przejęte w ten sposób można wykorzystać do dalszych oszustw, np. wystawiania fałszywych przedmiotów.
Albo popularnego ostatnio oszustwa "na BLIK-a". Mając dostęp do waszego Facebooka przestępca, podszywając się pod was, będzie prosił znajomych o wypłatę środków za pomocą tej usługi. Już nie brakuje oszukanych na tysiące złotych.
Według informacji ujawnionych przez "ZTS", w bazie danych nie ma takich informacji klientów morele.net jak adresy dostawy czy też szczegółów związanych z płatnościami. Na wszelki wypadek warto jednak założyć, że i to może wpaść w ręce przestępców.
To daje pole do rozwijania kampanii. O ile większość może już nie nabrać się na SMS od kuriera, tak jeśli w wiadomości będzie podany adres przesyłki - wówczas łatwiej będzie uwierzyć w taki komunikat. Podobnie sprawa ma się np. z mailami informującymi o odcięciu dostępu do internetu. Wiadomość, w której podany jest dokładny adres zamieszkania, wzbudza większe zaufanie.
Nie mówiąc już o tym, że oszuści mogą też przejąć konta mailowe użytkowników morele.net (zakładając, że ofiary miały te same hasła) i dowiedzieć się więcej na temat swoich celów. Wtedy łatwiej tworzyć spersonalizowane, wiarygodnie brzmiące przekręty.
Fakt, że wykradziona baza danych, zawierająca m.in. numery telefonów i adresy mailowe, może też oznaczać prawdziwą lawinę spamu. Obawiać więc należy się nie tylko fałszywych wiadomości i SMS-ów (które najczęściej przychodzą we wtorki), ale też różnych reklamowych ofert. Taką bazą zapewne zainteresowani są nie tylko oszuści.