Przestępcy mają już hasła 350 tys. klientów Morele.net. Nawet te usunięte

Przestępcy, którzy wykradli bazę danych Morele.net złamali już 350 tys. haseł użytkowników. Przez nieodpowiednie działania sklepu bezpieczne nie są nawet dane klientów, którzy konto skasowali jeszcze przed wyciekiem.

Niebezpiecznik donosi, że przestępca lub przestępcy odpowiedzialni za wykradzenie danych z bazy sklepu Morele.net mają już 350 tys. haseł powiązanych z odpowiednimi loginami (e-mailami).

Przestępcy "rozszyfrowują" hasła

To kolejne echa afery wokół sieci sklepów z elektroniką, która w połowie grudnia poinformowała o wycieku. Firma zdradziła wtedy, że hakerzy weszli w posiadanie "adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash)" każdego z użytkowników.

Aby uzyskać dostęp do hasła, przestępcy musieli rozszyfrować wspominane hashe. Z informacji, którymi podzielił się serwis Niebezpiecznik wynika, że do 20 grudnia (w ciągu dwóch dni od ujawnienia wycieku) udało się odzyskać aż 350 tys. haseł. Dziś zapewne jest ich znacznie więcej.

Dlatego tak istotne było, aby jak najszybciej zmienić hasło do konta w Morele i we wszystkich innych serwisach, w których stosowany był ten sam zestaw adresu e-mail i hasła.

Przykładowe hasła użytkowników Morele.netPrzykładowe hasła użytkowników Morele.net fot. dzięki uprzejmości Niebezpiecznik.pl

Nie powinno być zaskoczeniem, że pierwszej kolejności hakerzy "złamali" te najprostsze hasła. Jak możecie zobaczyć na powyższej grafice, wielu użytkowników serwisu nie wysilało się zbytnio, aby porządnie zabezpieczyć swoje konto.

Niestety Morele również nie zachowało się właściwie, bo firma nie zresetowała haseł niezwłocznie po dowiedzeniu się o ataku. Z kolei już po przeprowadzeniu resetu nie skasowała aktualnych tokenów sesyjnych, przez co w niektórych przypadkach zmiana hasła była nieskuteczna.

Wyciekło więcej danych

Niestety to nie koniec złych wieści, bo wbrew początkowym zapewnianiom Morele, przestępcy uzyskali dostęp do informacji jeszcze bardziej wrażliwych niż dane kontaktowe i hashe haseł. Konkretnie chodzi o dane dot. dowodów tożsamości, nr PESEL oraz danych dotyczących sytuacji finansowej użytkowników kupujących na raty.

Ale tylko tych, którzy zgodzili się na zapisanie tych danych na serwerach Morele.net zaznaczając pole "zgadzam się na zapisanie w morele.net moich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych". Pozostali podobno nie mają się czego obawiać.

Takie wiadomości trafiły do wybranych klientów Morele.netTakie wiadomości trafiły do wybranych klientów Morele.net fot. dzięki uprzejmości Niebezpiecznik.pl

Wypłynęły hasła z usuniętych kont

Co więcej, Niebezpiecznik dowiedział się, że przestępcy wykradli również dane niemal 2 tys, użytkowników, którzy swoje konta skasowali jeszcze przed wyciekiem. 

Serwis ustalił, że Morele.net zamiast faktycznie kasować wszelkie dane osób zamykających konto, jedynie blokowało dostęp do niego. Dzięki temu wszystkie dane ze "skasowanych" kont dało się odzyskać korzystając ze zmodyfikowanego adresu e-mail.

Więcej o:
Komentarze (73)
350 tys. haseł użytkowników Morele odszyfrowane. Przestępcy odzyskali nawet skasowane dane
Zaloguj się
  • gregsxf

    Oceniono 30 razy 22

    czy firma poniesie jakaś karę za wyciek danych osobowych czy jak to bywa wszystko zostanie zamiecione pod dywan? dlaczego w tej firmie nie można kupować jako gość bez rejestracji konta? dlaczego firma pozwalała na ustawienie takich słabych haseł przez użytkowników?

  • farcry3

    Oceniono 12 razy 8

    Ochrona danych to pic na wodę falsyfikat Do mnie dzwonią z banków i instytucji z którymi nigdy nie miałem niczego do czynienia, Skąd mają mój telefon ?

  • Oceniono 14 razy 6

    Wkoorwiające jest przede wszystkim to, że każdy serwis internetowy każe się rejestrować i zakładać konto. Żaden człowiek nie jest w stanie pamiętać setki własnych haseł (różnych!) w różnych tego typu "przybytkach"...

    Gwoli ciekawostki, kupowałem cokolwiek w "morelach" raz czy dwa, bo ceny tam wcale nie są takie atrakcyjne. Natomiast powiadomienie o wycieku dostałem na PIĘĆ swoich maili. Pytam się, jak to jest qoorwa możliwe?

  • maw1988

    Oceniono 8 razy 6

    RODO srodo obowiązki informacyjne i restrykcyjne zasady przechowywania i co? i nic? włamanie może się przytrafić ale jeżeli żądam usunięcia konta to wszystkie dane z nim powiązane powinny ginąć bezpowrotnie a tak nie jest. To samo robią google fb i inni "usuwasz konto" a wszystkie Twoje dane dalej są na ich serwerach Ty tylko tracisz do nich dostęp... :/

  • siwywaldi

    Oceniono 15 razy 5

    Ponieważ jakieś 7 lat temu coś tam u nich kupowałem (nawet nie pamiętam już co), to KAŻDĄ próbę wykorzystania moich danych do jakiegoś lewego zakupu, będę zwalał na nich. Ostatecznie to MNIE trzeba będzie udowodnić zakup i dostawę.

    A poza tym KAŻDY kto przed wejściem RODO gdzieś tam coś kupował w sieci, bądź na raty czy komuś po coś udostępniał np. PESEL, może być pewien, że jego dane I TAK będą "fruwać" po różnych mniej czy bardziej legalnych bazach do końca świata a nawet i dzień dłużej...

  • jarsza

    Oceniono 4 razy 4

    Trele morele. Nie mamy waszego płaszcza i co nam zrobicie.

  • adam3407

    Oceniono 6 razy 4

    Od kiedy pożyczki będą wymagały obecności w banku, własnoręcznego podpisu i będą zabezpieczane nagraniem wideo?

  • ankawwa

    Oceniono 4 razy 4

    Jeżeli Morele.net faktycznie nie kasowało danych klientów od czasu wejścia RODO to są pozamiatani !!! Druga sprawa. Jak można w tak dużym sklepie nie wstawić miernika siły hasła podczas rejestracji hasła ??? Przecież już ta funkcja zmusza użytkowników by alfanumeryczne hasła tworzyli a nie jakieś:"uuuuu" lub "jagodka" czy "james0007"

  • mywork

    Oceniono 3 razy 3

    I co, czy GIODO w końcu się obudzi i posypią się milionowe kary finansowe dla takich firm jak Morele? Czy znów zamiotą pod dywan?

Aby ocenić zaloguj się lub zarejestrujX