Morele.net jednak zapisywało wrażliwe dane. Wśród ofiar – osoby ze skasowanym kontem

Saga pod tytułem „Morele.net zhackowane” trwa w najlepsze. Przypomnę, w listopadzie sklep utracił bazę danych na rzecz tajemniczego crackera, który podjął próbę wymuszenia okupu, a kiedy negocjacje z przedsiębiorstwem zakończyły się niepowodzeniem, cyberprzestępca zaczął korzystać z wykradzionych danych. Równolegle firma postanowiła poinformować o sprawie klientów, ale napastnik zarzucił jej zaniżanie skali problemu. Mówił prawdę.

18 grudnia Morele.net poinformowało o włamaniu do bazy danych, uspokajając jednak, że nic poważnego się nie stało, a może inaczej – żadne naprawdę wrażliwe dane nie zostały utracone. Wspomniano wówczas jedynie o imionach i nazwiskach, adresach e-mail, numerach telefonu i zasolonych hasłach. Na nieszczęście poszkodowanych, było to tylko myślenie życzeniowe.

Po opublikowaniu przez napastnika szczegółów konwersacji z Morele.net, w serwisie *Wykop, a także naciskach ze strony redakcji Niebezpiecznika*, treść pierwotnego oświadczenia sprostowano. Okazuje się, że jeśli ktoś dokonywał zakupów na raty i zdecydował się przy tym na zapisanie rekordów z formularza, to – wbrew wcześniejszym deklaracjom – do utraconych danych należy doliczyć dane dotyczące dowodu osobistego, numer PESEL i informacje o zarobkach.

Nie wiadomo, czy Morele.net zapomniało o takiej ewentualności, czy może intencjonalnie nie chciało przyznawać się do większych strat. Powyżej natomiast możecie zobaczyć treść wiadomości ze sprostowaniem, jaka trafiła do klientów kupujących w systemie ratalnym.

A na tym nie koniec. Udało się ustalić. że cyberprzestępca na poważnie wziął się za odczytywanie haseł. Na dzień 20 grudnia chwalił się dostępem do 350 tys. odhaszowanych rekordów, publikując jako dowód ich niewielką część. Jako że Morele.net globalny reset haseł wykonało z blisko trzytygodniowym opóźnieniem, względem daty ataku, istnieje możliwość, że cracker dodatkową porcję danych odczytał w najprostszy możliwy sposób, po prostu logując się na konta ofiar.

Niebezpiecznik donosi ponadto o zakończonych powodzeniem próbach wykorzystania pary mail-hasło w innych serwisach, prowadzących do oszustw, wyłudzeń i kradzieży. Tak więc jeśli ktoś z was korzysta z jednego hasła do wielu kont, w tym tego na Morele.net, to bezwzględnie należy hasła pozmieniać wszędzie, gdzie to możliwe. Inaczej dalsze problemy są tylko kwestią czasu.

Jakby tego było mało, przy okazji wyszło na jaw, że bezpiecznie nie mogą czuć się nawet osoby, które skasowały konto w Morele.net na długo przed atakiem. To dlatego, że sklep niczego wcale nie kasował z bazy, a jedynie flagował teoretycznie skasowane konta przez dodanie prefiksu USUNIĘTY_ do adresu e-mail. Cracker twierdzi, że tego rodzaju kont jest dokładnie 1849, a prosty eksperyment społeczności wykazał, że można się do nich bez większych trudności zalogować i odczytać wszystkie dane. Wystarczy zresetować hasło, co oczywiście świadczy o tym, że w bazie pozostaje komplet informacji. Z tego względu dysponuje nimi także cyberprzestępca.

I nie, Morele.net nie jest jedyną platformą, która stosuje tego rodzaju praktykę. Tyle że w tym przypadku, wskutek utraty bazy, jej wady okazały się wyjątkowo dotkliwe. A swoją drogą, widać jak na dłoni, że rejestrując się gdziekolwiek w internecie, nierzadko podpisujemy coś a'la cyrograf. Teoretycznie RODO pozwala jedną decyzją usunąć każde konto, ale jak jest w praktyce, każdy widzi. Przedsiębiorcy dalej przechowują nasze dane i w każdej chwili mogą je utracić.