Hasła 350 tysięcy użytkowników Morele już złamane.
Hasła 350 tysięcy użytkowników Morele już złamane. Co gorsza wyciekły dane także tych, którzy konta w Morele skasowali nawet przed włamaniem
Historia ataku na Morele jest jak dobra wenezuelska telenowela. Zaczęło się od niewinnego podejrzenia, że coś jest nie tak. Początkowo, ona temu zaprzeczyła. Potem zaprzeczać przestała i dziwnie ucichła, aby po kilku dniach wybuchnąć płaczem publicznie. A w tle był szantaż, wielkie pieniądze i pochopne stwierdzenia, które potem trzeba było z niemałym zakłopotaniem prostować. A to nie koniec, bo ogrom tragedii zdaje się wciąż narastać…
Nieszczęścia chodzą parami
Przekładając z wenezuelskiego na nasze: miesiąc temu Morele zostało zhackowane, a dane (ponad 2 milionów) klientów zostały wykradzione. Firma współpracując z policją prowadziła rozmowy z włamywaczem, ale po nieskutecznej próbie namierzenia hackera postanowiła poinformować klientów o kradzieży ich danych. Włamywacz w odwecie postanowił zaś opisać nie tylko to, co ukradł, ale i to jak wyglądały negocjacje oraz że — wbrew temu co twierdzi Morele — danych ukradł więcej, bo dostęp miał uzyskać także do danych z dowodów osobistych wykorzystywanych podczas zakupów na raty. Morele po naszych pytaniach w tej sprawie w pierś się uderzyło, przyznało do szerszego zakresu “wycieku” i kilka dni temu wysłało drugi komunikat o kradzieży danych (tylko do tych, którzy zostawili firmie swoje dane na potrzeby zakupów na raty). O taki:
350 000 haseł już złamano…
Wiadomo — włamanie i strata danych 2 milionów użytkowników to sprawa niełatwa . O ile firmę należy pochwalić za brak chowania głowy w piasek (i nawet można zrozumieć przeoczenie, że początkowo przeoczono iż wyciek był szerszy, bo objął także dane dotyczące dowodów osobistych), to równocześnie Morele jest słusznie krytykowane przez klientów za to, że nie o razu zresetowało hasła do kont użytkowników.
A dlaczego taki reset w przypadku wycieku danych jest wymagany i to jak najszybciej? Bo hashe haseł się łamie. Prędzej czy później (w zależności od użytego algorytmu hashowania) “odwróci” się każdy z hashy. Morele korzystało z nienajgorszego (ale i nie najlepszego) algorytmu hashowania, ale włamywacz zdradził nam, że “złamał” już ponad 350 000 haseł (a to stan na 20 grudnia…):
Brak resetu haseł pozwalał atakującemu na:
- 1. dostęp do kont ofiar, które hasła miały słabe (bo jak widać, to właśnie słabe hasła są w pierwszej kolejności łamane) i ewentualne uzupełnienie na temat ofiar tych danych, których być może włamywaczowi nie udało się ukraść.
A stosowanie przez klientów Morele tego samego hasła co do Morele także w innym miejscu pozwalało włamywaczowi na:
- 2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone konta w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.
Dlatego właśnie każdy z Was powinien korzystać z managerów haseł. Wtedy przy wycieku bazy z jakiegoś serwisu punkt 2 z listy powyżej Was nie dotyczy. Managerów haseł jest wiele, my polecamy KeePassa (bo darmowy i na każdy z systemów), ale każdy inny manager haseł będzie lepszy niż żaden.
Jest jeszcze coś…
Tuż po naszym artykule, w którym informowaliśmy o komunikacie, jaki Morele rozesłało do “poszkodowanych” odezwał się do nas Czytelnik Wiktor, który komunikat od Morele dostał, chociaż konto w sklepie skasował ponad pół roku temu (wykorzystując prawa, jakie przyznało mu RODO).
Czytelnik komunikat o kradzieży jego danych dostał e-mailem, ale nie na adres, który podał Morele, a na adres:
USUNIETY_ab1ef185e0@wiktor.[nazwisko-wiktora] .com
Można na tej podstawie podejrzewać, że Morele nie usuwa (nie usuwało?) wszystkich danych związanych ze swoimi użytkownikami (którzy zażądali usunięcia swoich danych), a jedynie “flaguje” je poprzez dopisanie prefiksu USUNIĘTY_<id> do domeny adresu e-mail. To bardzo zły pomysł i zaraz Wam pokażemy dlaczego, ale najpierw zadajmy pytanie:
Ile takich osób jak Wiktor było w bazie Morele w chwili jej kradzieży?
Odpowiedź:1849
A przynajmniej taką liczbę podał nam włamywacz, kiedy go poprosiliśmy o to, aby sprawdził ile adresów e-mail w pozyskanej przez niego bazie zaczyna się od tego prefiksu.
W sprawie nie-do-końca-usuniętych-danych-klientów próbowaliśmy się kontaktować z Morele od 7 dni, ale do dziś nie otrzymaliśmy w tej sprawie żadnej odpowiedzi. Jeśli ją kiedyś otrzymamy, zaktualizujemy ten artykuł.
Zakończylibyśmy ten tekst standardowym zwrotem:
Pozostaje mieć nadzieję, że niepoprawne zacieranie danych dotyczyło tylko adresu e-mail i pozostałe informacje osób, które skasowały swoje konta przed kradzieżą zostały skutecznie usunięte i w chwili włamania nie znajdowały się w bazie.
…ale wszystko wskazuje na to, że nadzieja w tym przypadku byłaby płonna. Dowodzi tego eksperyment Wiktora.
Usunięte dane Wiktora udało się odczytać z serwerów Morele
Wiktor postanowił “przypomnieć” hasło dla tego dziwnego adresu e-mail na jaki otrzymał wiadomość z Morele …i mu się to udało. A po zalogowaniu zobaczył wszystkie swoje “niby-usunięte” dane osobowe.
Wszystko więc wskazuje na to, że Morele zamiast dane kasować, po prostu w dość nieudolny sposób “blokują” dostęp do konta, zmieniając użytkownikowi, który chciał skorzystać z praw jakie daje mu Rozporządzenie o Ochronie Danych Osobowych, adres e-mail na “nieprzewidywalny”.
Niestety, taka blokada jak widać jest podwójnie problematyczna. Raz, że w przypadku użytkowników z własną domeną i mechanizmem catch-all pozwala na odzyskanie swojego “skasowanego” konta, a dwa, że w przypadku kradzieży danych, złodziej pozyskuje to, czego pozyskać nie powinien…. Gdyby komuś udało się przewidzieć sposób generowania tego <id> po “USUNIĘTY_”, to byłoby i trzy. Istniałoby bowiem wtedy także ryzyko przejęcia czyjegoś usuniętego konta — zwłaszcza, że do niedawna bardzo łatwo można było komuś konto usunąć — wystarczyło ofierze podsunąć jeden prosty link).
Nie tylko Morele tak robią…
Morele, niestety, nie jest jedynym serwisem, który w taki sposób “usuwa” rekordy użytkowników ze swojej bazy. Jak informuje Wiktor, podobne doświadczenia spotkały go z serwisem infopraca. Tam “skasowane” konto otrzymuje prefiks “xxx” przed adresem e-mail, ale przynajmniej “hasła” nie da się “przypomnieć”.
My sami dorzucimy jeszcze jedną historyjkę. Podczas analizy bazy, którą stracił pewien duży znany serwis internetowy, na jaw wyszło, że wielu użytkowników tego serwisu ma pewne, dość skomplikowane hasło. Brzmiało ono tak:
Z4BL0K0W4N3
Nie powiemy jaki to serwis, ale pewnie sporo z Was też ma tam konto 😉 Gdyby Wam kiedyś zablokowali konto w jakimś serwisie, bo np. nie uregulowaliście na czas należnych serwisowi opłat, to… już Wy wiecie co 😉
Źródło: niebiezpiecznik.pl
Więcej informacji:
500 tysięcy haseł do serwerów, routerów i IoT trafiło do sieci.- Dane tysięcy polskich klientów AliExpress były dostępne w sieci
Kara za niewystarczające zabezpieczenia organizacyjne i techniczne- Morele.net zhakowane. Wyciekła baza klientów, choć sklep zarzekał się, że jest bezpieczny
- 13 milionów haseł wyciekło z firmy oferującej bezpłatny hosting
- Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci
Czynności kontrolne w Virgin Mobile Polska- Wyciek danych z Facebooka: do sieci trafił numer telefonu Marka Zuckerberga
![[UWAGA!] Do sieci wyciekło 773 milionów adresów e-mail i 21 milionów haseł](https://plikcenter.pl/Producent_IT/wp-content/uploads/2019/01/pexels-photo-923681-150x150.jpeg)
[UWAGA!] Do sieci wyciekło 773 milionów adresów e-mail i 21 milionów haseł- Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy