Włamywacze odpowiedzialni za kradzież bazy danych serwisu Morele.net od wielu tygodni odgrażali się, że udostępnią wszystkie uzyskane dane. Swoją groźbę przed chwilą spełnili. Baza wygląda na prawdziwą.
Sklep Morele.net padł ofiarą włamywaczy. Już w listopadzie opisywaliśmy, jak jego klienci stają się ofiarami oszustów, podszywających się pod sklep i przekierowujących ofiary na fałszywe strony pośredników płatności. Ataki te były najwyraźniej wynikiem dostępu przez włamywaczy do bazy danych Morele.net. Przestępcy próbowali potem szantażować sklep, a niedługo później ujawnili listę loginów i haseł jego pracowników. Dzisiaj z kolei wrzucili do sieci bazę danych użytkowników serwisu.
hackmachine i jego oferta
Link do bazy danych zamieścił na forum Cebulka użytkownik hackmachine, który już wcześniej proponował sprzedaż różnych zbiorów informacji.
hackmachine przez chwilę prowadził także swój „sklepik” z bazami danych, jednak ta witryna aktualnie nie jest aktywna.
Sam plik bazy ma ponad 400 MB i przez kilkanaście minut był dostępny w serwisie umożliwiającym dzielenie się dużymi plikami. Obecnie został już usunięty.
Na podstawie analizy własnych kont w bazie Morele.net możemy potwierdzić, że plik zamieszczony przez hackmachine jest prawdziwy. Zawiera niecałe 2,5 miliona rekordów – chociaż nie opublikowano wszystkich danych. W bazie znaleźć można za to:
- imię,
- nazwisko,
- adres e-mail,
- hash hasła,
- numer telefonu.
Baza nie zawiera danych dotyczących zakupów ani adresów dostawy czy zamieszkania. Brak także danych dotyczących płatności. Ostatnie konta w pliku pochodzą z ok. 10 października 2018.
Jeśli Wasze dane znajdowały się w wycieku, a jeszcze nie zmieniliście hasła, którego używaliście na Morele.net, to teraz jest na to ostatnia chwila.
Jak sprawdzić, czy moje dane są w bazie
To bardzo proste – poszukajcie w swojej skrzynce takiego e-maila:
Jeśli go znaleźliście, to ten adres e-mail, na który wiadomość dotarła, był w bazie udostępnionej przez przestępców.
Komentarze
A gdzie mogę dostać odszyfrowane loginy? Nie potrzebuję haseł. Chcę jak największą bazę loginów.
Loginy wygeneruj sobie sam
„Sam plik bazy ma ponad 400 MB i przez kilkanaście minut był dostępny w serwisie umożliwiającym dzielenie się dużymi plikami. Obecnie został już usunięty.”
Co raz się pojawi w sieci, zostaje tam na zawsze :)
Pewnie już jest kilka mirrorów gdzieś rozsianych.
Nie zawsze się ono sprawdza (mam na myśli to powiedzenie). ;p
rodo srodo, zero konsekwencji… ;(
Konsekwencji czego? Tego że jakiejś firmie włamano się do bazy, a ona zgodnie z prawem poinformowała o tym użytkowników?
Konsekwencji tego, że zabezpieczenia wołały o pomstę do nieba. Poszukaj i poczytaj jak zabezpieczony był dostęp…
Przede wszystkim rzecz się rozbija o sposób budowania hasha. Jeżeli nie były solone, to morele powinny beknąć na dużą kasę za takie niedbalstwo, to tęczowymi tablicami pewnie można odkodować z 70% haseł albo więcej…
To nie było włamanie, morele przez swoje niedbalstwo i brak profesjonalizmu zostawiło dostęp do tej bazy bez zabezpieczeń (nawet nie było wymagane logowanie admina).
Nie bądź śmieszny, kiedy poinformowała – 2 miesiące po fakcie.
Moim zdaniem powinni ponieść konsekwencje raz kiepskich zabezpieczeń i dwa opieszałego informowania o wycieku (o ile dobrze pamiętam to zostało to upublicznione najpierw nie przez Morele a kogoś innego).
RODO ma zastosowanie również do zabezpieczenia, nie chodzi tylko o poinformowanie o wycieku. Jeżeli UODO stwierdzi, że zabezpieczenia nie były adekwatne do danych jakie zostały ujawnione czyli nie została zachowana poufność to nie obejdzie się bez kary. Pytanie czy ktoś to zgłosił do UODO czy osobom poszkodowanym na tym nie zależy bo informacje nie mogą wskazać nikogo konkretnego :)
Mam informację od pracowników morele.net, że oni się specjalnie nie przejęli tą sprawą. Podejście jest takie, że im nic nie ukradli, wykradli tylko dane użytkowników. Firma nic nie straciła.
A czym oni się w ogóle przejmują? Jako klient sklepu widzę, że właściwie to chyba niczym. W sumie fajna fucha.
Ma ktoś link do mirrora?
https://bit.ly/1e1EYJv
<3 <3 <3 <3 <3 <3 <3
Lubie ta piosenkę ;]
czm nikt tego typa do sądu nie poda za włamania się i sprzedawanie baz danych moim zdaniem on dawno powinien za takie coś w pierdlu siedzieć
przecież Morele twierdzi, że żadnego włamania nie było, więc za co mają go skazać?
Ogarnij się. Nikt nie wie kto to jest
różni ludzie różne rzeczy wiedzą
„Zawiera niecałe 2,5 miliona rekordów – chociaż nie opublikowano wszystkich danych”
To w koncu „niecałe” czy może jednak „aż” 2,5 miliona?
Niecałe 2,5 mln oznacza Np 2 458 000.
„Niecałe 2.5 miliona” znaczy, że ilość rekordów po zaokrągleniu w górę to 2.5 miliona (ale jest ich mniej niż 2.5 miliona). Słowo „niecałe” nie jest przeciwieństwem słowa „aż” (w przeciwieństwie do słowa „tylko”).
Jedno drugiego nie wyklucza w tym zdaniu
Wracaj do podstawówki. Naucz się czytać ze zrozumieniem.
I dlatego jestem za reformą edukacji. W chwili obecnej to porażka.
Jak ktoś chce się uczyć to się uczy a nie wychodzi na takiego debila, poza tym gimnazja miały bdb osiągnięcia w nauce :)
Warto dać info o bazie do haveibeenpwned.
rozumiem, że morele net bez jakichkolwiek konsekwencji, niesamowite to jest w dzisiejszych czasach :/
Ale jaka wina w wycieku lezy po stronie morele? Przecież oni sa ofiarą włamania. Mieli serwery zabezpieczone, zawsze znajdzie sie ktoś kto potrafi złamać każde zabezpieczenie. Przestępcą jest złodziej a nie ofiara. Jak mi ktoś włamie się domu, to mam odpowiadać za to ze miałem za mało zamków w drzwiach?
> Ale jaka wina w wycieku lezy po stronie morele?
Rażące niedbalstwo. A potem jeszcze kłamstwo.
> Jak mi ktoś włamie się domu, to mam odpowiadać za to ze miałem za mało zamków w drzwiach?
Nie odpowiadasz za włamanie, tylko za kradzież z Twojego domu danych milionów ludzi, które trzymałeś w domu nie zabezpieczywszy ich ODPOWIEDNIO.
Morele w tym wypadku zostawilo klucze pod wycieraczka a nie za drzwiami antywlamaniowymi.
„Mieli serwery zabezpieczone”
XD XD XD XD XD XD XD LOL LOL LOL XD XD XD XD XD XD
Nigdy nie nie kupię W morele. Powód – skąpi na bezpieczeństwo. Nie padnie ta firma dla jej dobra
Myślę, że problemy z trzymaniem prywatnych danych w bezpieczny sposób to nie ich jedyny problem. Mają oni kłopoty z pakowaniem przesyłek, wysyłaniem ich na czas, mówieniem prawdy i zdarza im się też wysłać używany sprzęt jako nowy.
Moim zdaniem xkom >>>> morele
Chyba robicie z Lechem w jednej firmie? :) Każdy sposób dobry, żeby dokopać knkurencji, c’nie? ;)
Dlaczego nic nie kupisz w Morelach?
Nikt nie każe ci kupować wysyłkowo, możesz zarejestrować się jako Euzebiusz Smolarek i zawsze odbierać osobiście towar.
Oczywiście lista moich zakupów mogłaby być zbyt ciekawa, dlatego założyłem już Grzegorza Lato i całą rodzinę Lewandowskich…
Moim zdaniem to i tak jeden z najlepszych sklepów internetowych.
W mieście mam około 3 dużych sklepów z częściami do komputera, ale
– nie znajdę w nich tylu rzeczy ile mam w morele.net
– nie poskładają mi
– nie przetestują sprzętu (odnośnie np. jakość muzyki, wiadomo trzeba samemu ocenić)
Także jak chce coś na szybko to idę do lokalnego sklepu,
a jak nie ma to i tak odwiedzę morele i tu wyciek mnie nie powstrzyma jeśli towar dociera tak jak powinien.
Jak będzie dalej problem to najwyżej wszyscy będą zakładać konta z fikcyjnymi danymi oprócz adresu, a jeśli towar nie dojdzie to dowodem roszczeń będzie dowód wpłaty i ewentualny brak podpisu u kuriera jeśli by chodziło o nie dostarczenie.
Jeszcze jednej rzeczy zapomniałem.
Numer telefonu musimy podać prawdziwy, bo tym kurierom nie można ufać, ze odnajdą mieszkanie.
Wynika to z kilku czynników.
– Kurierzy jeżdżąc wiele kilometrów nie muszą znać każdego osiedla,
a ich mapy nie zawsze są dokładne.
– Ufają mapie, ale nie zawsze patrzą co pisze na budynku lub klatce.
– Czasami kurierzy chcą dostarczyć, ale tracą tylko czas,
bo często numery klatek są przeplatane w budynkach lub miedzy budynkami.
– Jeśli placówka jest w okolicy i towar trzeba przenieść, to niektórzy listonosze wola zostawić awizo z prośbą o odebranie niż dźwigać ileś kilogramów dziennie.
Jeżeli ktoś się boi spamu wiadomości po wycieku.
– Nie musimy odbierać telefonów od nie znajomych.
– Niektórzy operatorzy domyślnie blokują numery zastrzeżone,
jeśli się tego boisz to może w telefonie możesz sobie ustawić, lub doinstalować odpowiednia aplikacje.
Mam pytanie do ZaufanaTrzeciaStrona: To jest poważna sprawa. Dlaczego Polska Policja nie zajmuje się z tą sprawą? Dlaczego Policja nie ściga przestępców? Niech Policja zajmie się z tą sprawą.
Zajmuje się i ściga.
Minęły 5/4 miesięcy temu podobny temat „Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów – LINK: https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-udajacych-posrednikow-szybkich-platnosci/ ” ale Policja nie zatrzymała przestępców. Więc, jak długo potrwa? Jaka jest procedura?
Myślę, że potrwa to między 1 minutę a wieczność. Procedura jest opisana w kodeksie postępowania karnego i ustawie o policji.
Rozesłali do poszkodowanych maila z pytaniem czy ktoś nie widział złodzei wychodzących z pendrivem z serwerowni.
Zajmuje sie i ściga… znaczy za X lat może jak jakiś Janusz cyberprzestępca coś spieprzy to go sierżant Grachamka wsadzi. A jak nie może się tym zajmie po latach Policyjne Archiwum X. O ile się to Policji uda.Małe szanse,bo to jest TOR,a Policji nie chce się nawet zarejestrować kradzieży telefonu i puścić wniosek o jego lokalizację bo statystyki a roboty cyber-policjanci mają i tak dość przy clearnecie i usługach z jawnym IP itd itp.
Nie bądźmy dziećmi – szanse są małe. Ale publikacja bazy publicznie (no chyba,że to była sprzedaż zaszyfrowanego archiwum) to świadczy o tym,że przestępcom skończyły się pomysły jak to spieniężyć.
Naprawę Morele ma 2.5 mln klientów. Wowww zawsze myślałem że to taki sklepik co ma góra kilka kilkanaście tysięcy.
Tez mi problem… no i co ze wycieklo? nowy login nowe haslo i po problemie, a jak Sony dane wyciekly to playstation przestali kupowac?
I przy okazji jeszcze dowody osobiste, numery kont bankowych, i inne „gówno informacje” które przecież można zmienić, prawda?
nic z tych danych nie wycieklo, masz w artykule
Ale PESELU, daty urodzenia, adresu zamieszkania nie zmienisz.
Imienia i nazwiska też tak nie bardzo, c’nie?
Nie mam słów na takich ludzi, którzy wykorzystują swoją wiedzę w tak podłym celu. Kieruję wszystkie swoje myśli na to, by jak najszybciej ten człowiek trafił do pudła.
Jestem krang…upośledzony całym sobą, efekt nieudanej aborcji niedorozwiniętej kozy ze związku z chudym koniec rasy albańskiej.
2 cm dalej i byłbym naleśnikiem ale nie przejmuje się tym bo od czasu resekcji przedniego płata mózgu po prostu ślinię się i maluje gównem po ścianach.
Taka jest prawda. Na drugie mam Adam, na trzecie Haertle.
Handluje pierdołami na cebulce a tak na prawdę zaufana to mam niezłe rozdwojenie jaźni – skoro w dzień udaje Adasia a nocą jako Krang uruchamiam mój ruski stragan na cebulce i innych stronach.
Przemyślcie to…bo to wiekopomna chwila !!!
dobrze się czujesz? XDD
Nie wiem co bierzesz, ale bierz połowę :)
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Prawdziwemu Krangowi jest przykro, że takie karykatury obrażają Adama i samego Kranga.
Adamie, wybacz, sam wiesz jak jest.
—–BEGIN PGP SIGNATURE—–
iQEzBAEBCgAdFiEELoD/X+zwQFk0qJ1/m217zfyHC4oFAly4z3YACgkQm217zfyH
C4r3cwf/cDl/4EhDt/Pki4yMRyPCymYHu/k1S+mYuNcIP70KLO16MKbsuvvXk1eG
0cGPhjPWDgSyW44O/bJkHwxukByzTKmhg08tF2yt0ho9g18YN0oWqe+O3KjDeiqN
TveirGilvd5YAzDQHOLAHxlos+TbVGDvtBrNILdc/AO8l2cyCVUxwUYyNDfLP4Z9
Xslf5Glu15rkWDlk859BIGiQFvDSIFUdnmMHsUdsGwMkNfj9jPZm7h3nWKehDIwS
HeBVNcoQCgi4BnV0bXENK0eDyrs1LMdSLfYLK0FISKgsMNuxCPpc18jOGwqv7F7w
3w6lup4KMnlko/WEmKJveMybd6uGVQ==
=VKgg
—–END PGP SIGNATURE—–
Kolega prosi o link do forum cebulka :)
v2: cebulka7millweap
v3: cebulka7uxchnbpvmqapg5pfos4ngaxglsktzvha7a5rigndghvadeyd
Ciekawe czemu od ponad tygodnia nie działa
Pytanie – myślę, że bardzo istotne – jakie zagrożenie dotyczy użytkowników morele, którzy nie zakładali w nim dedykowanego konta, ale logowali się poprzez Facebooka?
Rozumiem, że w tym przypadku do wycieku dostały się dane uzupełnione podczas składania zamówień w serwisie morele, a więc imię i nazwisko, numer telefonu, adres email, natomiast samo hasło w tym przypadku znajduje się tylko po stronie Facebooka?
W takim przypadku w bazie w polu, w którym normalnie jest hash hasła znajduje się słowo „facebook” (wniosek z tego co widzę w bazie).
Jak logujesz gdzieś przez coś typu fb, steam to raczej nigdy serwis, na którym się logujesz nie ma hasła do konta w serwisie, w którym się logujesz (w przeciwnym przypadku to by było nienormalne, wątpię by taki przypadek był, ale nie siedzę w tym szczególnie).
Jakie zagrożenia/problemy?
– ktoś ma maila (albo nr tel jeśli można się tak zalogować, nie wiem) do twojego konta na facebooku
– jeśli masz na facebooku takie hasło jak na morele to szybko zmień jeśli jeszcze tego nie zrobiłeś
Nie wiem czy coś jeszcze typowo przez logowanie przez fb.
Wyślecie bazę do HIBPWN?
Moje dane też tam są no i co z nimi zrobicie?
Rozumiem że admini zaufanej trzeciej strony złamali prawo i uzyskali informacje do prywatnych danych użytkowników uzyskanych i opublikowanych w sposób nielegalny. Czy policja już do was jedzie?
Zrobili to w celach badawczych lub śledczych więc nic im nie mogą zrobić.
„2019.04.19 14:16 rve7f56rv7f56 #
Zrobili to w celach badawczych lub śledczych więc nic im nie mogą zrobić.”
każdy może tak zrobić i później napisać, że to było „w celach badawczych lub śledczych”? z3s jest jakimś prawnie upoważnionym podmiotem do wykonywania tego typu czynności?
@z3s
To, że ktoś dostał takiego maila nie świadczy o tym, że jego dane wyciekły – wiadomość na mailu jest, danych w bazie brak – sprawdzone z pobraną bazą, żeby nie było.
Zapewne rozesłali masowo, a nie analizowali komu to wysłać, bo może nie każdemu trzeba ^^
twoje dane hakerzy zostawili sobie na własny użytek :)
Nie, w moim przypadku żaden mail nie doszedł, a dane są.
Skąd można pobrać bazę aby sprawdzić czy moje dane wyciekły? Chciałby wykorzystać ten plik i zgłosić na policje wyciek i handel moimi danymi. Proszę o wsparcie.
Teroetycznie tu: https://haveibeenpwned.com/
Juz dodali baze Morele. Jednak nie jestem pewny czy w calosci. Mam wrazenie, ze moje dany wyciekly, a jednak niby mnie tam nie ma. Moze inne zrodlo wycieku…
Czy jeżeli logowałem robiłem zakupy, ale logowałem się przez SSO kontem FB, to jestem przez ten wyciek jakoś zagrożony?
Też jestem tego ciekawy w przypadku logowania z użyciem Facebooka albo Google’a czy takie wycieki pozwalają zalogować się na konto w usłudze, do której się włamano (w tym przypadku Morele.net).
Adamie ja wiem, że macie nawał pracy ale czy nie przydało by się zrobić uniwersalnego artykułu:
„Wyciekły dane co mi mogą zrobić ?” wraz z przykładami i podpinać pod kolejnymi doniesieniami, że coś wyciekło.
Np. z jakimś kluczem w formie obrazka (bo przecież teraz wszystko w memach jest więc i odbiorca ma zmieniony protokół przyswajania danych…) np. wyciekły Imię, Nazwisko, e-mail mogą mi zrobić to, pociekło dodatkowo hasło, mogą to, pociekły dowody/pesele mogą już to i to.
Myślę, że przykładów z życia wziętych macie masę opisanych wcześniej więc wystarczyło by tylko podlinkować.
Ps. Wiadomo jak trzymane były hasła w bazie bo miałem ustawiony 30 znakowy random (password manager ftw) i się zastanawiam ile na łamanie tego brute forcem by komuś zeszło :D
Zapomniałem o koncie na YouTube i 11 miałem przejęcie i umieszczenie treści opisanej cyrylicą nie wiem co zawierającej. YouTube usunęło treść 19 i dało mi ostrzeżenie.
„nasz zespół sprawdził Twoje treści i stwierdził, że naruszają one zasady dotyczące spamu, nieuczciwych praktyk i oszustw. Usunęliśmy z YouTube te treści:
Film: Onlayn сексo besplatna seks kino”
Wszystko z lenistwa i stosowania jednego hasła do wielu kont.
Nie przypominam sobie maila od morele z info od wycieku, a moje dane znajdują się w wykradzionej bazie. Co mogę zrobić, by odgryźć się na morele za brak takiej informacji?
Dziś dostałem powiadomienie z banku na dużą kwotę, przelew wychodzacy kartą płatniczą, adres dziwny Islandia. Natychmiast zablokowaniem kartę, zgłosiłem na policję
Jedyny mój zakup w sklepie Morele kartą płatniczą w zeszłym roku.
I co na to powie sklep Morele?
Macie szczęście że przelew kartą płatniczą można cofnąć, bank zwrócił całą kwotę w ciągu godziny
Proponuję wszystkim blokadę karty i zrobienie nowej to będzie chyba rozsądnie wyjscie
Do mnie już zaczął przychodzić spam na morelowy e-mail:
Nadawca: Amazon
Temat: , otrzymałeś kartę podarunkową Amazon.pl!
Obiecują ekskluzywny bon na 1500zł :)
Sorry, z formularza wycinane są tagi i się informacja rozjechała. Spróbuję zakodować.
Nadawca: Amazon <[email protected]>
Temat: /MojeImię/, otrzymałeś kartę podarunkową Amazon.pl!
Morele powinno zapłacić odszkodowanie po 5000zł każdemu klientowi którego e-mai stał się publiczny. Może to by nauczyło następnych na przyszłość.