Nocny e-mail z Morele.net to nie żart - twój adres domowy, e-mail, numer telefonu, imię i nazwisko oraz hasło (zahashowane) są w rekach hakerów. Od miesiąca przestępcy wykorzystują te dane do włamywania się na konta bankowe.
Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).
Pomimo deklaracji Morele.net, już miesiąc temu Niebezpiecznik.pl monitował próby wyłudzeń realizowane na klientach sklepu. Ruszyła wtedy wysyłka SMS-ów z informacją o konieczności dopłacenia 1 zł do kosztów dostawy zamówienia. Link zawarty w SMS-ach prowadził do sfałszowanej strony płatności Dotpay, która zamiast umożliwiać dokonanie płatności, przekazywała dane do logowania przestępcom.
Gdy klient czekał na hasło SMS-owe, tak naprawdę tworzony na koncie był "odbiorca zaufany", a po potwierdzeniu hasłem jedno kliknięcie wystarczało do oczyszczenia konta ze środków. Co warto dodać, to tylko jeden z wielu mechanizmów, jakie stosować mogą przestępcy po uzyskaniu dostępu do danych osobowych klientów.
Po sygnałach ze strony klientów, Morele.net umieścił na swojej stronie informację o próbie ataku na klientów. Zapierając się przy tym, że nie jest źródłem danych, a jego baza jest ściśle chroniona:
Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.
Już 6 grudnia z długiego komunikatu na stronie sklepu powyższy fragment został usunięty, a sklep zaczął przestrzegać, że wiadomości Odbierz kupon warty 100 zlotych na swiatecznej promocji sklepu MORELE! też nie są wysyłane przez obsługę Morele.net. Wygląda na to, że już wtedy sklep miał świadomość, że jednak jest źródłem wycieku danych.
Finałem komunikacji jest wysłany ostatniej nocy do wszystkich klientów sklepu oficjalny e-mail z informacją o wycieku danych i ryzyku odszyfrowania haseł.
Przede wszystkim należy zmienić hasło w sklepie i na wszystkich innych stronach, na których zdecydowaliśmy się na takie samo zabezpieczenie. Chociaż w ręce hakerów trafiły zaszyfrowane hasła, z racji dostępu do ich olbrzymiej liczby programiści mogą znaleźć sposób na ich odszyfrowanie. Możliwe nawet, że już do tego doszło, także nie należy zwlekać ze zmianą hasła.
Nie należy odpowiadać na e-maile i SMS-y wysyłane przez spamerów. Sklep zapewnia, że nigdy nie przekierowuje na strony płatności bezpośrednio z e-maili oraz SMS-ów.
Gdy tylko sklep uświadomił sobie, że doszło do wycieku danych, w trybie natychmiastowym wprowadził nowe środki bezpieczeństwa. Uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych - czytamy w komunikacie. Wysłano też zawiadomienie o możliwości dokonania przestępstwa, jak i powiadomiono Urząd Ochrony Danych Osobowych. Na koniec pozostało przeprosić klientów:
Przykro nam, że nasza znajomość, przyjaźń, a może i długoletni związek zostały wystawione na taką próbę. Ta kwestia jest dla nas absolutnym priorytetem i dużym wyzwaniem dlatego zapewniamy o pełnym zaangażowaniu całego zespołu w wyjaśnienie sytuacji i wprowadzeniu działań zapobiegawczych.
Pytaniem otwartym pozostaje kwestia, czy Morele.net nie dał przypadkiem za dużo czasu przestępcom na wykorzystanie pozyskanych danych. Biorąc pod uwagę zmiany w komunikacie, już na początku grudnia sklep wiedział, że doszło do wycieku.
Zobacz: Co kupić na prezent? Świąteczny poradnik zakupowy TELEPOLIS.PL
Zobacz: Jaki telefon wybrać? Najlepsze telefony: grudzień 2018
Źródło tekstu: Morele.net, Niebezpiecznik, wł
