Morele.net zaatakowane dla okupu – napastnik udzielił wywiadu. Kreuje się na filantropa

Nie milkną echa wycieku danych z Morele.net. Przedsiębiorstwo twierdzi wprawdzie, że sytuacja została opanowana, a ujawnione mogły zostać co najwyżej nazwiska, e-maile i zahaszowane hasła, ale sam napastnik jest innego zdania. Swoją walkę ze sklepem opisał na *Wykopie. Udzielił ponadto Zaufanej Trzeciej Stronie* krótkiego wywiadu. Ze słów crackera wynika, że utrata danych jest znacznie większa, niż przyznaje się do tego dział marketingu Morele.net.

„xArm” – jak podpisuje się złodziej w internecie – twierdzi, że ataku nie planował. Przypadkiem natknął się na otwarty serwer z niezabezpieczonymi portami i otwartym phpMyAdminem. Był to akurat serwer należący do Morele.net. Z niego wyciągnął ponoć nie tylko bazę z 2,2 mln rekordów dotyczących danych rejestracyjnych użytkowników, ale także kilkadziesiąt tys. numerów PESEL i parę tys. obustronnie zeskanowanych dowodów osobistych. Tu ciekawostka – zdaniem przedsiębiorstwa, dane potrzebne do umów ratalnych (numery PESEL, skany dowodów) przechowywane były jedynie po stronie banków i nie zostały skradzione. Cracker ma inne zdanie na ten temat.

Adam Haertle, redaktor naczelny z3s, który rozmawiał z przestępcą, potwierdza wyciek bazy – uzyskał na dowód swoje dane. Twierdzi przy tym, że prezentowana przez napastnika skala wycieku jest możliwa. Nie wiadomo natomiast, jak dokładnie uzyskany został dostęp, ani czy „xArm” rzeczywiście dysponuje najbardziej wrażliwymi informacjami, jak skany dowodów osobistych i PESEL-e. Na nieszczęście klientów Morele.net, dziennikarz nie jest również w stanie potwierdzić, czy firma uporała się z luką. Sam złodziej mówi, że dalej ma pełny wgląd do serwera.

Co więcej, rzekomo zabrał się za deszyfrowanie haseł i jest to możliwe, choć czasochłonne. Morele.net stosuje algorytm kryptograficzny MD5Crypt i dodatkowo zasala hasła, stąd trzeba je łamać pojedynczo, ale – według cyberprzestępcy – kilkaset sztuk zostało już odszyfrowanych. Przy czym z jakiegoś powodu, jeśli adres e-mailowy zaczyna się od prefiksu „allegro_”, wykorzystywany jest zwykły MD5, około 2500 razy mniej odporny na atak. To kolejna furtka w systemie.

Z relacji wynika, że kiedy „xArm” zdał sobie sprawę z uchybień w systemie zabezpieczeń Morele.net, zażądał od firmy okupu w wysokości 15 BTC, co na dzień dzisiejszy daje ponad 225 tys. zł. Pierwsza próba kontaktu miała miejsce 28 listopada. Sklep zaczął grać na zwłokę, aż w jednej z wiadomości zaszył kod śledzący. Zorientowawszy się o tym, napastnik podniósł cenę do 20 BTC, czyli ponad 300 tys. zł. Sklep odpowiedział inną formą ugody, a mianowicie propozycją zatrudnienia. Cały zapis rozmowy można znaleźć w poście zamieszczonym na łamach Wykopu.

Z konwersacją warto się zapoznać, ponieważ kilka jej aspektów przedstawia się co najmniej intrygująco. Cracker wypowiada się językiem rodem z sekcji komentarzy serwisu z „dzidą” w nazwie. Oczywiście może być to sztuczka socjotechniczna, mająca na celu utrudnienie identyfikacji, ale jeśli tak, to pracownicy Morele.net dali się złapać w siatkę. Przykładowo, w pewnym momencie pada z ich strony stwierdzenie, że „chcą rozwiązać sprawę przelewu bez udziału prezesa i zarządu”. Naprawdę, Morele? Ktoś miałby uwierzyć, że wyciągniecie ponad 300 tys. z firmowej kasy bez konsultacji z kimkolwiek z góry? Tego rodzaju prowokacja nie miała żadnych szans na powodzenie.

No chyba, że Morele.net wie coś, czego nie chce ujawnić opinii publicznej, na przykład to, że „xArm” nie jest jedynym spośród włamywaczy, a ataki mają charakter zmasowany. Ten konkretny sprawca jasno deklaruje brak powiązań z próbami wyłudzeń metodą „na 1 zł”. Jeśli można mu wierzyć, to na serwery przedsiębiorstwa wtargnął jeszcze ktoś inny. Przyznam, dziwi mnie trochę postępowanie złodzieja, który próbą wymuszenia okupu chwali się publicznie na obleganym serwisie agregacyjnym. Oczywiście można użyć publicznego Wi-Fi, sieci VPN i dorzucić do tego proxy, co mocno komplikuje namierzenie sprawcy, ale po co narażać się (zbędnie!) na potencjalny błąd. Dla poklasku?

Na poklask „xArm” zdecydowanie liczył, stwierdzając ostatecznie, że okup od Morele.net miał zasilić konto wybranej przez niego organizacji charytatywnej. Niemniej społeczność Wykopu jakoś tego tłumaczenia nie kupiła. A ja mam pewną teorię: Morele.net rzeczywiście zostawiło otwarty serwer, przez co do danych minimalnym nakładem pracy mógł dostać się niemalże każdy. Jedni, tacy jak grupa powiązana ze wspomnianymi SMS-ami, próbowali wykorzystać wyciekające dane do wyłudzeń, drudzy – nawet nie wiedzieli do końca, co z nimi zrobić, czego przykładem jest „xArm”. Nie wyszło z okupem, to teraz kreuje się na internetowego celebrytę i filantropa.