Niedawno obiegła internet informacja o tym, że miał miejsce włam do sklepu Morele.net o czym informowaliśmy kilka dni temu. Już wcześniej pojawiały się informacje, że coś mogło się wydarzyć, ponieważ ich klienci dostawali smsy z prośbą o zmianę hasła. Zabawa jak się okazuje trwa w najlepsze – niestety. Negocjacje z „hakerem” czy publiczne przyznanie się do winy nic nie pomogło. Usuwanie kont również.
Morele nie dba o klientów
Pamiętacie, jak sklep starał się rozwiązać tę sytuację? Były negocjacje, które nie przyniosły skutku, ale również chciano przechytrzyć „hakera” i spróbować go namierzyć. Bez skutku. Oferta pracy dla sklepu? Również bez skutku. W odwecie poznaliśmy przebieg tej całej akcji oraz dowiedzieliśmy się co nieco o tym, w czego posiadaniu jest haker.
Mimo wszystko, w jakiś sposób chcieli oni rozwiązać sytuację a co najważniejsze, przyznali się do wycieku i poinformowali klientów. Co prawda dopiero przy drugim podejściu poszła informacja o kradzieży większej ilości danych niż wcześniej, ale to zawsze oficjalne przyznanie się.
Żal do morele.net mogli mieć klienci, że zresetowano hasła użytkowników, jednak serwis nie skasował aktualnych tokenów sesyjnych. Co to oznacza? Że zmiana hasła mogła być całkowicie nieskuteczna, jeśli osoba chcąca przejąć dane była już zalogowana na dane konto.
Dlaczego nacisk na restart haseł? Ponieważ mógł on zapobiec złamaniom haseł na większą skalę. Morele wykorzystywało średniej jakości algorytm hashowania (ani nie najlepszy, ani też nie najgorszy), lecz „haker” złamał już ponad 350 tysięcy haseł – do dnia 20 grudnia.
Na co pozwalał brak resetu haseł?
Poprzez opóźnione bądź nietrafione resetowanie haseł, atakujący miał dostęp do kont ofiar. W szczególności do tych, których hasła były nie najlepszej jakości. Widzicie na obrazku, że te łatwe są już złamane.
Jeśli jeszcze gdzieś posiadaliśmy takie same hasło czy maila, to tym samym miał on dostęp do innych naszych kont, co w żaden sposób nie jest dobre. Przez to może on mieć dostęp do o wiele większej ilości naszych danych, co może mieć bardzo przykre konsekwencje.
Na tym nie kończy się problem
Jeden z użytkowników, który usunął konto na portalu Morele.net ponad pół roku temu… dostał maila z prośbą o zmianę hasła. Co prawda nie na maila, którego używał w serwisie, jednak to może świadczyć o tym, że Morele.net albo nie usunęło jeszcze wszystkich danych, albo po prosu, że ich nie usuwa. Tak wygląda mail, na którego dostał wiadomość użytkownik sklepu – USUNIETY_ab1ef185e0@wiktor.[nazwisko-wiktora].com
Według włamywacza, osób z dopisanym prefiksem „USUNIĘTY_<id>” było aż 1849.
Jazda bez trzymanki jest kontynuowana. Wiktor, czyli osoba, która otrzymała wspomnianego maila z prośbą o zmianę hasła spróbowała je odzyskać i… udało się. Po zalogowaniu się na swoje konto, zobaczył on wszystkie swoje dane. Te dane, które pół roku temu usunął, a które nie powinny już znajdować się w bazie danych serwisu. Już nawet nie wspominam o kwestiach związanych z RODO, które gwarantuje możliwość bezpowrotnego usunięcia swoich danych…
Jak wasze konta? Czujecie się bezpieczni?
Chcesz być na bieżąco? Śledź ROOTBLOG w Google News!