Morele.net jednak zapisywało wrażliwe dane. Wśród ofiar – osoby ze skasowanym kontem

Morele.net jednak zapisywało wrażliwe dane. Wśród ofiar – osoby ze skasowanym kontem28.12.2018 08:42

Saga pod tytułem „Morele.net zhackowane” trwa w najlepsze. Przypomnę, w listopadzie sklep utracił bazę danych na rzecz tajemniczego crackera, który podjął próbę wymuszenia okupu, a kiedy negocjacje z przedsiębiorstwem zakończyły się niepowodzeniem, cyberprzestępca zaczął korzystać z wykradzionych danych. Równolegle firma postanowiła poinformować o sprawie klientów, ale napastnik zarzucił jej zaniżanie skali problemu. Mówił prawdę.

18 grudnia Morele.net poinformowało o włamaniu do bazy danych, uspokajając jednak, że nic poważnego się nie stało, a może inaczej – żadne naprawdę wrażliwe dane nie zostały utracone. Wspomniano wówczas jedynie o imionach i nazwiskach, adresach e-mail, numerach telefonu i zasolonych hasłach. Na nieszczęście poszkodowanych, było to tylko myślenie życzeniowe.

Po opublikowaniu przez napastnika szczegółów konwersacji z Morele.net, w serwisie *Wykop, a także naciskach ze strony redakcji Niebezpiecznika*, treść pierwotnego oświadczenia sprostowano. Okazuje się, że jeśli ktoś dokonywał zakupów na raty i zdecydował się przy tym na zapisanie rekordów z formularza, to – wbrew wcześniejszym deklaracjom – do utraconych danych należy doliczyć dane dotyczące dowodu osobistego, numer PESEL i informacje o zarobkach.

Źródło: Niebezpiecznik / Morele.net
Źródło: Niebezpiecznik / Morele.net

Nie wiadomo, czy Morele.net zapomniało o takiej ewentualności, czy może intencjonalnie nie chciało przyznawać się do większych strat. Powyżej natomiast możecie zobaczyć treść wiadomości ze sprostowaniem, jaka trafiła do klientów kupujących w systemie ratalnym.

350 tys. haseł w rękach napastnika

A na tym nie koniec. Udało się ustalić. że cyberprzestępca na poważnie wziął się za odczytywanie haseł. Na dzień 20 grudnia chwalił się dostępem do 350 tys. odhaszowanych rekordów, publikując jako dowód ich niewielką część. Jako że Morele.net globalny reset haseł wykonało z blisko trzytygodniowym opóźnieniem, względem daty ataku, istnieje możliwość, że cracker dodatkową porcję danych odczytał w najprostszy możliwy sposób, po prostu logując się na konta ofiar.

Źródło: Niebezpiecznik / Morele.net
Źródło: Niebezpiecznik / Morele.net

Niebezpiecznik donosi ponadto o zakończonych powodzeniem próbach wykorzystania pary mail-hasło w innych serwisach, prowadzących do oszustw, wyłudzeń i kradzieży. Tak więc jeśli ktoś z was korzysta z jednego hasła do wielu kont, w tym tego na Morele.net, to bezwzględnie należy hasła pozmieniać wszędzie, gdzie to możliwe. Inaczej dalsze problemy są tylko kwestią czasu.

Wśród ofiar – osoby, które skasowały konto

Jakby tego było mało, przy okazji wyszło na jaw, że bezpiecznie nie mogą czuć się nawet osoby, które skasowały konto w Morele.net na długo przed atakiem. To dlatego, że sklep niczego wcale nie kasował z bazy, a jedynie flagował teoretycznie skasowane konta przez dodanie prefiksu USUNIĘTY_ do adresu e-mail. Cracker twierdzi, że tego rodzaju kont jest dokładnie 1849, a prosty eksperyment społeczności wykazał, że można się do nich bez większych trudności zalogować i odczytać wszystkie dane. Wystarczy zresetować hasło, co oczywiście świadczy o tym, że w bazie pozostaje komplet informacji. Z tego względu dysponuje nimi także cyberprzestępca.

I nie, Morele.net nie jest jedyną platformą, która stosuje tego rodzaju praktykę. Tyle że w tym przypadku, wskutek utraty bazy, jej wady okazały się wyjątkowo dotkliwe. A swoją drogą, widać jak na dłoni, że rejestrując się gdziekolwiek w internecie, nierzadko podpisujemy coś a'la cyrograf. Teoretycznie RODO pozwala jedną decyzją usunąć każde konto, ale jak jest w praktyce, każdy widzi. Przedsiębiorcy dalej przechowują nasze dane i w każdej chwili mogą je utracić.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na