Niebezpiecznik donosi, że przestępca lub przestępcy odpowiedzialni za wykradzenie danych z bazy sklepu Morele.net mają już 350 tys. haseł powiązanych z odpowiednimi loginami (e-mailami).
To kolejne echa afery wokół sieci sklepów z elektroniką, która w połowie grudnia poinformowała o wycieku. Firma zdradziła wtedy, że hakerzy weszli w posiadanie "adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash)" każdego z użytkowników.
Aby uzyskać dostęp do hasła, przestępcy musieli rozszyfrować wspominane hashe. Z informacji, którymi podzielił się serwis Niebezpiecznik wynika, że do 20 grudnia (w ciągu dwóch dni od ujawnienia wycieku) udało się odzyskać aż 350 tys. haseł. Dziś zapewne jest ich znacznie więcej.
Dlatego tak istotne było, aby jak najszybciej zmienić hasło do konta w Morele i we wszystkich innych serwisach, w których stosowany był ten sam zestaw adresu e-mail i hasła.
Przykładowe hasła użytkowników Morele.net fot. dzięki uprzejmości Niebezpiecznik.pl
Nie powinno być zaskoczeniem, że pierwszej kolejności hakerzy "złamali" te najprostsze hasła. Jak możecie zobaczyć na powyższej grafice, wielu użytkowników serwisu nie wysilało się zbytnio, aby porządnie zabezpieczyć swoje konto.
Niestety Morele również nie zachowało się właściwie, bo firma nie zresetowała haseł niezwłocznie po dowiedzeniu się o ataku. Z kolei już po przeprowadzeniu resetu nie skasowała aktualnych tokenów sesyjnych, przez co w niektórych przypadkach zmiana hasła była nieskuteczna.
Niestety to nie koniec złych wieści, bo wbrew początkowym zapewnianiom Morele, przestępcy uzyskali dostęp do informacji jeszcze bardziej wrażliwych niż dane kontaktowe i hashe haseł. Konkretnie chodzi o dane dot. dowodów tożsamości, nr PESEL oraz danych dotyczących sytuacji finansowej użytkowników kupujących na raty.
Ale tylko tych, którzy zgodzili się na zapisanie tych danych na serwerach Morele.net zaznaczając pole "zgadzam się na zapisanie w morele.net moich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych". Pozostali podobno nie mają się czego obawiać.
Takie wiadomości trafiły do wybranych klientów Morele.net fot. dzięki uprzejmości Niebezpiecznik.pl
Co więcej, Niebezpiecznik dowiedział się, że przestępcy wykradli również dane niemal 2 tys, użytkowników, którzy swoje konta skasowali jeszcze przed wyciekiem.
Serwis ustalił, że Morele.net zamiast faktycznie kasować wszelkie dane osób zamykających konto, jedynie blokowało dostęp do niego. Dzięki temu wszystkie dane ze "skasowanych" kont dało się odzyskać korzystając ze zmodyfikowanego adresu e-mail.