Wielu polskich internautów dowiedziało się dzisiaj, że ich dane wyciekły ze sklepu Morele.net. Sklep nie udziela poszkodowanym dodatkowych informacji, więc spróbujemy go w tej roli trochę zastąpić – bo podejrzewamy, że wiemy coś o incydencie.
Poniżej przytoczymy fakty oraz naszą ich interpretację. Niestety nie mamy pełnego obrazu sprawy – jeśli wiecie coś więcej, będziemy wdzięczni za dodatkowe informacje. Tymczasem wróćmy do listopada, kiedy to prawdopodobnie wszystko się zaczęło.
Tajemnicze SMS-y
Oszuści korzystający z fałszywych paneli płatności Dotpay (a ostatnio także PayU) coraz bardziej panoszą się w sieci. Regularnie opisujemy ich poczynania, a oni szukają nowych sposobów namawiania internautów na oddanie im wszystkich swoich pieniędzy. I są w tym niestety bardzo skuteczni.
Podstawą dobrego oszustwa jest wiarygodność. Co może być wiarygodniejszego od otrzymania wiadomości dotyczącej właśnie wykonanych zakupów internetowych? To właśnie stało się w okolicy 21-22 listopada. Opisaliśmy wtedy, jak klienci Morele.net dostają SMS-y od oszustów w kilka godzin po dokonaniu zakupów. Wiadomości wyglądały tak:
Link prowadził do strony oszustów:
Tam z kolei wyłudzano od użytkowników najpierw login i hasło do banku, a potem kod autoryzujący transakcję.
To nie my!
Z uwagi na wysoką korelację momentu zakupu w Morele.net z otrzymaniem SMS-a (mieliśmy kilka zgłoszeń klientów, którzy dostawali wiadomości w czasie krótszym niż 24h od zakupu) i brakiem przypadków, gdzie wiadomość trafiłaby do kogoś, kto zakupów nie zrobił, wnioski były oczywiste – z Morele.net wyciekają dane klientów i ich zakupów. Jednak Morele.net z tym wnioskiem długo nie potrafiły się pogodzić.
Pod adresem WWW https://www.morele.net/wiadomosc/uwaga-na-sms-y-proszace-o-doplate-1-pln-do-zamowienia-w-sklepach-grupy-morele/12319/ przez wiele dni widniał komunikat opisujący wyżej wskazane ataki. Obecnie strona wydaje się usunięta. Jeszcze wczoraj tam była (tu kopia), chociaż jej treść była już inna niż 23 listopada. Około 6 grudnia z wpisu zniknęła między innymi linijka mówiąca tak:
Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.
Na Wykopie oficjalne konto Morele.net tak ratowało sytuację:
Zła informacja jest taka, że podobny problem spotka Klientów również innych sklepów. Prawdopodobnie wyciekła baza dużego operatora logistycznego, który obsługuje wszystkie sklepy, i mamy już informacje, że podobny problem wystepuje u innych.
Jak udało się nam dowiedzieć, Morele.net przez pewien czas były przekonane, że dane faktycznie wyciekają od jednego z partnerów logistycznych. Zmiana dostawcy nie wpłynęła jednak na zakończenie incydentu. Problem tkwił w tym, że jedyne zgłoszenia tego rodzaju, jakie otrzymywaliśmy, dotyczyły właśnie Morele.net. Nie znamy żadnego przypadku innego sklepu, którego klienci od razu po zakupie dostawaliby SMS-y od złodziei.
Pośrednio potwierdzamy
Morele.net – po zmodyfikowaniu, a następnie usunięciu oryginalnego komunikatu – w końcu najwyraźniej dotarło do źródła wycieku informacji, ponieważ od północy rozsyłało do dziesiątek (jak nie setek) tysięcy klientów taką oto wiadomość:
Jej kluczowy fragment brzmiał:
Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.
co pośrednio wiąże wyciek z incydentem opisywanym powyżej. Niestety próba uzyskania jakichkolwiek dodatkowych informacji od Morele.net kończy się standardowym komunikatem:
Jesteśmy w stałym kontakcie z Policją i prowadzone są czynności dochodzeniowe w celu ustalenia przyczyn nieuprawnionego dostępu. Na chwilę obecną nie możemy podać więcej szczegółów. Pragniemy jednak zapewnić, że… (i tu więcej standardowych formułek)
Niestety możemy się spodziewać, że cała baza klientów sklepu trafiła w ręce grupy zajmującej się oszustwami, zatem nikogo nie powinny zaskoczyć kolejne nadużycia z jej wykorzystaniem.
Będzie tego więcej
Oszustwa z użyciem fałszywego panelu płatności rosną w siłę i nie będzie lepiej. Przestępcy zarabiają na nich ogromne pieniądze, a w grze pojawiają się kolejne grupy zainteresowane szybkimi i łatwymi zyskami. Panel Dotpaya można kupić, jednak warto zauważyć, że tylko wykwalifikowani przestępcy potrafią go wykorzystać do skutecznej kradzieży. Nie stoi to na przeszkodzie temu, by kradzieżami zajmowali się także amatorzy – oszustw można dokonywać nawet w modelu FPDaaS (Fałszywy Panel Dotpaya as a Service), gdzie przestępczy narybek zajmuje się naganianiem ofiar, a fachowcy czyszczeniem ich rachunków. To sprawia, że liczba oszustw regularnie rośnie. I będzie ich więcej, skoro w sieci można znaleźć takie ogłoszenia:
Przypomina Wam to jakąś historię? Nam niestety też. Jeśli chcecie utrudnić zadanie przestępcom, każcie wszystkim swoim znajomym z dostępem do internetu przeczytać dokładnie ten artykuł, gdzie opisujemy mechanizm oszustwa. Zgłaszajcie też nam wszystkie podobne przypadki – my wiemy, co z nimi dalej zrobić.
Na pożegnanie jeszcze jeden zrzut ekranu – już bez komentarza (zwróćcie uwagę na daty):
Komentarze
pozwe ich do sądu jak ktoś na mnie pożyczke weźmie czy inny numer zrobi, serio jedno zamówienie i już mają mój adres i telefon…
odradzam każdemu taki sklep który w 2018 roku nie potrafił sie zabezpieczyć
ROTFL. Pokaż mi sklep, który potrafi się zabezpieczyć? Dziecinada, pozwiesz, rotfl. Podałeś im PESEL i skan dowodu?
oczywiscie ze moge pozwac, Morele.net Sp. z o.o. nienalezycie zarzadzila ochrona moich danych przez co narazila mnie na szkode.
Oni nie tyle nie chronili Twoich danych co wręcz je wręczyli przestępcom, a żeby sprawa za szybko nie wyciekła to swego czasu kasowali komentarze użytkowników na FB. Jeśli chcesz ich pozwać to się przyłączam, zróbmy pozew zbiorowy!
Pozwać możesz, ale to, czy Morele należycie, czy nienależycie zarządziły ochroną danych osobowych, określi sąd. Skąd ty to możesz wiedzieć nie znając ich wewnętrznych procedur? Przypominam, że nie ma systemu, który da się w 100% zabezpieczyć, można tylko minimalizować ryzyko. A jakieś małe prawdopodobieństwo wpadki zawsze jest.
Powodzeni w wykryciu wszystkich możliwych dziur XD
Po co podawać adres domowy? Morele mają odbiór z paczkomatu przecież.
Twoi rodzice tez nie potrafili się zabezpieczyć?
Kupujemy w morele średnio kilka-naście razy w miesiącu, mamy dedykowany e-mail dla składania zamówień z tego sklepu. Nie dostaliśmy ani jednego podejrzanego sms-a. Przy czym – uwaga – praktycznie nigdy nie zamawiamy towaru z dostawą kurierem, zawsze robimy osobisty odbiór w netpunkcie, więc teoria o wyciekaniu od operatora logistycznego do mnie jak najbardziej przemawia.
A płatność przelewem, czy też w netpunkcie?
@vanitas: mailem zamawiaja, a dziura byla na stronie.
Wstawa, zesrałeś się. 50gr/wpis ratujący wizerunek padliny z której wyciekły dane? Fajny ten ratunek twarzy, taki nie za subtelny.
Sam jestes wstawa, pewnie sam za 50gr trollujesz. Nie mierz wszystkich zwoją miarką, @alabama.
nigdzie nie jest powiedziane, że oszuści wysyłają SMSy do wszystkich klientów Morele. Powiem więcej – gdyby tak robili byliby idiotami.
Też kupowałem w tym sklepie, dostawa różnie – od kurierów przez odbiór w punkcie, też nie dostałem żadnego SMSa.
Inna bajka, że jak ktoś się zalogował na nasze dane i ustawił zapamiętanie konta, to zmiana hasła nie pomoże – po zmianie wciąż loguje się automatycznie ze starego komputera.
Wchodzisz w ustawienia konta -> usuwanie konta i papa morelo. Natomiast co się stało, to się nie odstanie.
Co Ty mówisz?
Przecież ta opcja zapamiętuje hasło w przegladarce, a nie strona zapamiętuje komputer(?)!
Zmiana hasła na stronie wystarczy bo to nie zaktualizuje komuś na jego komputerze hasła, które ma zapisane..
Przestań wprowadzać ludzi w błąd.
Ale przeglądarka zapamiętuje również informacje odnośnie sesji logowania. Wysyła je ponownie do sklepu, już po zmianie hasła, a sesja zostaje zaakceptowana. Nie powinno się tak dziać w sytuacji kiedy hasło zostało zmienione.
Najlepiej się wypowiedzieć jak się nie zna na temacie, prawda? :D
Chyba w serwisach, ktore ty projektujesz.
Dziwne w sumie, że jak pozmieniałem teraz hasło to wszędzie mnie wylogowało. Ale kiedyś tak było chyba, że nawet po zmianie nie wylogowywało. :P
U mnie to samo. Zawsze odbiór i zapłata w netpunkcie -> nic nigdy nie co by próbowało wyłudzić cokolwiek ode mnie.
U mnie to samo. Kilka zamówień w miesiącu. Odbiór tylko osobisty w netpunkcie z platnoscia gotówką na miejscu. Maila brak.
Odbiór w punkcie to odbiór osobisty. Tracisz prawo zwrotu do 14 dni.
nie ma znaczenia jaki odbior (paczkomat, netpunkt, kurier), zwrot 14 dniowy jest akceptowany i nawet wymuszony przez prawo, bo zamówiłes na stronie, nie wprowadzaj ludzi w bład
Nieprawda, w przypadku moreli przy odbiorze osobistym nie tracisz uprawnienia do odstąpienia od umowy. Tutaj sklep trzyma poziom i nie traktuje tego jako zakup bezpośredni, lecz w dalszym ciągu jest to zakup przez internet z możliwością zwrotu dla konsumenta.
Nie prawda, gdybyś przeczytał regulamin morele to byś wiedział.
Co za dzban…
Dokładnie. To samo u mnie.
U nas też było zamawiane zawsze do netpunktu z zapłatą przy odbiorze i żadne smsy z prośbami o dopłatę nie przyszły.
Frazę „dedykowany email do zamówień w tym sklepie” rozumiem inaczej niż Wujek Paweł; moim zdaniem będzie chodzić o konto w morele założone na osobny email przeznaczony tylko do tego celu. Tak się robi w niektórych firmach.
Kolego ja zamówiłem dwie przesyłki w tym roku od nich płatność kartą i też nie dostałem sms’a. Ale mialem spine i jeżeli dostał bym jakaś prośbę o dopłatę to na pewno napisał bym na support albo zadzwonił i anulował zamowienie bo jak coś zamawiam to za cenę która jest przy produkcie a czas dostawy tez ma być taki za jaki płacę a nie przesyłka 5dni leży i czeka na nadanie, bo mają nadmiar zamówień (sytuacja prawdziwa). Ruch u dużych dostawców płatności online jest monitorowany 24/7 może nie dosłownie ale każde zapytanie do baz danych jest monitorowane i nic się nie dzieje bez wiedzy odpowiadajacych za to ludzi w grę wchodzą za duże pieniądze.. a morele to morele.. według mnie morele powinno za to odpowiedzieć prawnie chyba po to jest to rodo. Jak można do czegoś takiego dopuścić, mamy już prawie 2019 rok.
20% uzytkownikow poraza swoja nie wiedza.
1. Co chwile sa jakies wycieki z baz danych, a tu nagle szum bo ktos sie w koncu przyznal i ktos inny zauwazyl.
2. Udowodnienie winy to podstawa. My jako uzytkownicy mozemy okreslic chyba tylko zrodlo wycieku, firmy. A dokladniej skad oszust mogl miec dane. Bo dane ujawniamy prawie codziennie. Np. sklep musial ujawnic dane kurierowi aby przesylke mogl dostarczyc.
3. Zrodlo wycieku nie swiadczy ze ktos jest winny.
Ze ktos Ci podstawil noge to ponosisz wine za wypadek ?
Nie. Chyba ze to ty sam sobie podstawiles.
4. Karac jest bardzo latwo, a madre przemyslenia trudniej.
5. Chcesz poprawic bezpieczenstwo i wiesz o wycieku ?
– To zmien alias poczty i ewentualnie nr. telefonu.
– Zmien haslo i alias poczty na stronie wycieku, zwlaszcza gdy juz znajda glowne zrodlo wycieku i je uszczelnia
– Blokuj polaczenia bez numeru, jesli twoj operator pozwala
Kto lepiej za dba o bezpieczenstwo jak nie Ty sam ?
6. Byly tu wpisy o sprzedawaniu danych, np. z powodu telefonow.
Ale widzisz ze nie wszyscy maja ten sam problem, wiec nie swiadczy to bezprosrednio o danej firmie jak wspomniany sms z nazwa firmy.
Ale gdyby dostac od tej firmy dzwoniacej dane, to moze udalo by sie potwierdzic firmy zwiazane z wyciekiem.
Od miesiąca na Cebulce FryderykBastiat lata jak poparzony i łamie te hashe z morele dla Hochwanderka i jego ekipy.
ja tez mam dedykowany email dla kazdego sklepu w ktorym kupuje, w tym dla Moreli. Zamowien tam zrobilem kilkanascie, w tym ostatnie w listopadzie (2 albo 3 zamowienia) i nigdy nie dostalem zadnego podejrzanego maila na ta skrzynke..
Może niektórzy w końcu zrozumieją, że Internet to nie tylko kotki i selfiaczki, ale poważna i niebezpieczna sprawa. Jak ze Steam’a potrafią dane wykraść to i z Morele dadzą radę.
wlasnie internet przez akcje zlodziei zaczyna sie nadawac powoli tylko do selfie i ogladania zdjec smiesznych kotow. w routerach u operatorow siedza ruski, chinczyki z kumplami polakami i wylapuja co ciekawsze poczynania. popatrz sobie przez godzinke w jakikolwiek 'kabel’ z publicznym ip i zauwaz logike w calym syfie ktory przychodzi
Porażka roku?
https://images91.fotosik.pl/93/8ceb100a1ae0e59fmed.png
Przeczytałem artykuł dwukrotnie, jednak w dalszym ciągu nie wiem „czego nie chcą nam powiedzieć” ani „kto ma wykradzione dane”. Słabo, bo również po wstępie liczyłem na znacznie więcej, artykuł rozwija się i nagle koniec.
Moja konkluzja jest jednak taka, że ktoś się mocno do tego przedsięwzięcia przyłożył i to niestety na wielu płaszczyznach. Ciekawi mnie jak dalej potoczy się cała sprawa, ile osób zostało poszkodowanych i na jaką sumę pieniędzy.
A taka ciekawostka możliwe że związania z wyciekiem. Wczoraj dostałem powiadomienie że ktoś z Indii próbuje się zalogować na moje konto warframe. Na nim miałem to samo hasło co na morele.
U mnie ostatnio ktos chcial sie logować na perk.com, gdzie ja tam nawet konta nie mialem :)
Ja ostatnio nie podaje w zamowieniach pizzy, w sklepach internetowych swojego pelnego nazwiska i duzo osob ma o to waty ;) niektore sklepy nawet chca anulowac moje zamowienie mimo ze zamawiam do paczkomatu.
Naprawde ktos sie powinien przyjrzec temu co jest wymagane do zlozenia zamowienia i dlaczego sklepy chca od nad tak wielu danych przy glupim zamowieniu. Po cholere im moj adres skoro biore do paczkomatu?
Twoje pełne dane są im potrzebne żeby mogli odmówić reklamacji jeśli po jakimś czasie byś potrzebował lub ktoś komu kupiłeś przedmiot z tego skorzystać. Taką technikę stosuje X-Kom i pewnie inni też tak kombinują. Porównują przy reklamacji dane osobowe adresy itd. z danymi jakie były podane przy składaniu zamówienie jak coś się nie zgadza to mają wymówkę żeby ci odmówić realizacji reklamacji.
do mnie dzisiaj na numer komórki, który podałem w morele lata temu dzwonił jakiś telemarketer ;)
Ja od wczoraj dostaje wiadomości email o tym że mam zaległe saldo do zapłacenia za usługi telekomunikacyjne. Mam otworzyć link a tam wszystko jest napisane.
Tytuł click bait, atmosfera wpisu jak z teorii spiskowych, mało konkretów.
Do tego screen z ogłoszenia poszukującego bazy danych klientów sklepów z pełnym mailem… -facepalm to mało.
Tak aby ogłoszenie było wiecznie żywe
Chciałbym zwrócić uwagę, że dostęp do prawdopodobnie całej bazy mają w każdym punkcie odbioru zamówień. Sam byłem świadkiem próby podjęcia paczki przez mamę, którą wysłał syn nie podając praktycznie żadnej informacji, oprócz tego, co ma odebrać. Numeru zamówienia nie miała, nazwisko w zamówieniu nie było podane (lub zmyślone), ale po kilku odpytaniach bazy po zamawianym towarze pani wyszła zadowolona. Oczywiście ten towar zamówiło kilka osób, prawie na pewno w innych netpunktach, ale udało się znaleźć ten konkretny numer i wydać pani paczkę.
Reasumująć, skoro w każdym netpunkcie mają dostęp do pełnej bazy, to możliwości wycieku są ogromne.
Do debili co piszą: „odbieram w netpunkcie i nie dostałem sms/e-maila”
Po co oszust ma do was wysłać, skoro odbieracie osobiście i w 99% płacicie przy odbiorze? Przecież ten 1zł byście dopłacili przy odbiorze, a nie dotpay. Myślenie nie boli.
Kto się przezywa, sam się tak nazywa <3
hmmm.. to chyba juz wiem kiedy moje dane wylatywaly z orange. bardzo podobne akcje w ciagu doby od kontaktu z oficjalnym bokiem, tylko ze mailowe.
Jak coś zamawiamy to pytamy o cene i date dostawy. Jak coś później jest nie tak np dopłata czy brak dostawy 3 dni po terminie zgłoszenie na policje art286.1 i tyle nie wnikam czy sklep oszukuje czy hakerzy czy operator czy co do wyjaśniania tego jest policja.
Dostałem podobnego SMSa, podszywającego się pod inPost.
SMS’a nie dostałem, ale dzwonili już do mnie dwa razy w tym tygodniu z zaproszeniem na prezentację w mojej okolicy.
Szkoda, że tak późno się zorientowali, pewnie niedługo baza na darkwebie za grosze będzie do kupienia.
Słaba reakcja sklepu, szantażysta dość amatorsko podszedł do sprawy….
pozdrawiam, Rosankiewicz Jacek
Widze, ze mamy specjaliste na miejscu
Ktoś chętny na pozew zbiorowy?
Nie pamiętam jakie tam u nich miałem hasło i gdzie go jeszcze mogłem użyć takiego samego. Więc napisałem maila, z prośbą o informację jakie hasło miałem ustawione w ichnim sklepie – odpisali że „nie są w stanie mi odpowiedzieć”. Żałosne.
Nic dziwnego że nie są w stanie ci odpowiedzieć… są poważną firmą która nie trzyma haseł użytkowników. Więc ani oni, ani hakerzy nie są w stanie tak po prostu „przeczytać” twojego hasła. Pomijając już kwestię pytania mailem o wrażliwe dane (hasło)… to dość idiotyczny sposób – maile nie są ani trochę bezpieczne bez dodatkowego szyfrowania.
To ja zadam pytanie – czy grozi taki wyciek?
Kupowałem w Morelach parę razy, mają dane moje firmowe bo brałem fakturę wiec dane musiałem do faktury dane podać. Zwykle odbierałem w netpunkcie ale być może kiedyś też kurierem.
Co z tego że przestępcy mają mój firmowy adres mailowy czy numer telefonu albo adres pocztowy (zresztą te same dane firmy są w CEIDG ) oraz losowe hasło generowane tylko dla Morele i niepasujące do żadnego innego serwisu czy maila? Żadnego dowodu osobistego ani PESELa im (i nikomu innemu) nie dawałem. Jestem świadomym internautą i nie klikam w linki z podejrzanych maili, nie daję się nabrać na socjotechnikę, itp
Czym wiec może grozić taki wyciek, ktoś ma pomysł? Przecież kredytu na mnie nie wezmą bo jak? Spam przychodzi i tak bo mail firmowy jest publiczny a telemarketerów traktuję z buta a tych upierdliwych zgłaszam do UKE
Moje dane wyciekły do Dark Web