facebook adres e-mail telefon

[ALERT] Usunąłeś konto w Morele.net? Twoje dane nie zostały w pełni skasowane i też wyciekły

Nieszczęścia chodzą parami

Usunąłeś konto w Morele.net? Twoje dane nie zostały w pełni skasowane i też wyciekły. Miesiąc temu Morele zostało zhackowane, a dane (ponad 2 milionów) klientów zostały wykradzione. Firma współpracując z policją prowadziła rozmowy z włamywaczem, ale po nieskutecznej próbie namierzenia hackera firma postanowiła poinformować klientów o kradzieży ich danych. Włamywacz w odwecie postanowił zaś opisać nie tylko to, co ukradł, ale i to jak wyglądały negocjacje oraz że — wbrew temu co twierdzi Morele — danych ukradł więcej. Ponieważ dostęp miał uzyskać także do danych z dowodów osobistych wykorzystywanych podczas zakupów na raty. Morele po pytaniach w tej sprawie uderzyło w się pierś, przyznało do szerszego zakresu “wycieku” i kilka dni temu wysłało drugi komunikat o kradzieży danych (tylko do tych, którzy zostawili firmie swoje dane na potrzeby zakupów na raty).

Usunąłeś konto w Morele.net? Twoje dane nie zostały w pełni skasowane i też wyciekły

350 000 haseł już złamano

Usunąłeś konto w Morele.net? Twoje dane nie zostały w pełni skasowane i też wyciekły. Wiadomo — włamanie i strata danych 2 milionów użytkowników to sprawa niełatwa. O ile firmę należy pochwalić za brak chowania głowy w piasek (i nawet można zrozumieć przeoczenie, że wyciek był szerszy i objął także dane dotyczące dowodów osobistych), to równocześnie Morele jest słusznie krytykowane za to, że nie o razu zresetowało hasła do kont klientów.

Dlaczego taki reset w przypadku wycieku danych jest wymagany? Bo hashe haseł się łamie. Włamywacz zdradził, że “złamał” już ponad 350 000 haseł.

 

Brak resetu haseł pozwalał atakującemu na:
  • 1. dostęp do kont ofiar, które hasła miały słabe (bo jak widać, to właśnie słabe hasła są w pierwszej kolejności łamane) i ewentualne uzupełnienie na temat ofiar tych danych, których być może włamywaczowi nie udało się ukraść.
  • 2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone kont w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.

 

 

Usunięte dane klienta udało się odczytać z serwerów Morele

Klient postanowił “przypomnieć” hasło dla tego dziwnego adresu e-mail na jaki otrzymał wiadomość z Morele …i mu się to udało. A po zalogowaniu zobaczył wszystkie swoje “niby-usunięte” dane osobowe.

Wszystko więc wskazuje na to, że Morele zamiast dane kasować, po prostu w dość nieudolny sposób “blokują” dostęp do konta, zmieniając użytkownikowi, który chciał skorzystać z praw jakie daje mu Rozporządzenie o Ochronie Danych Osobowych, adres e-mail na “nieprzewidywalny”.

Niestety, taka blokada jak widać jest podwójnie problematyczna. Raz, że w przypadku użytkowników z własną domeną i mechanizmem catch-all pozwala na odzyskanie swojego “skasowanego” konta. Dwa, że w przypadku kradzieży danych, złodziej pozyskuje to, czego pozyskać nie powinien…

Nie tylko Morele tak robią…

Morele, niestety, nie jest jedynym serwisem, który w taki sposób “usuwa” rekordy użytkowników ze swojej bazy. Jak informuje klient, podobne doświadczenia spotkały go z serwisem infopraca. Tam “skasowane” konto otrzymuje prefiks “xxx” przed adresem e-mail, ale przynajmniej “hasła” nie da się “przypomnieć”.

 

 

W CSK stosujemy silną politykę haseł mającą na celu jak najlepsze zabezpieczenie swoich danych a także, skrupulatnie przestrzegamy wszelkich zabezpieczeń chroniących przed atakami. Jeśli chcą Państwo dowiedzieć się więcej na temat stosowanych przez nas zabezpieczeń prosimy o kontakt mailowy lub przez formularz na naszej stronie internetowej https://www.csk.com.pl/kontakt/

Masz pytania? Napisz do nas!

Wyślij wiadomość