Jak złodzieje chcieli Morele.net szantażować z naszą pomocą

dodał 20 grudnia 2018 o 10:36 w kategorii Włamania, Wpadki  z tagami:
Jak złodzieje chcieli Morele.net szantażować z naszą pomocą

Bycie dziennikarzem w branży bezpieczeństwa sprawia, że rozmawiam z różnymi ludźmi. Często są to ofiary przestępców, a czasem są to przestępcy. Od obu stron barykady można dowiedzieć się ciekawych rzeczy, lecz nie można zapominać przy tym o swojej roli.

Rolą dziennikarza jest informować – identyfikować ciekawe historie, weryfikować je i przedstawiać szerszej publiczności. Gdy zatem odzywa się do mnie posiadacz bazy serwisu Morele.net, w której – według niego – znajdują się rekordy ponad dwóch milionów polskich internautów, to jest to ważny temat i okazja do zebrania istotnych informacji. Trzeba też jednak pamiętać, że mało który przestępca z dziennikarzami kontaktuje się bezinteresownie. Ale po kolei.

Oszustwa, kradzieże, szantaż

Jeśli nie śledziliście całej historii, to w największym skrócie:

Wczoraj, 19 grudnia, odezwał się do mnie ktoś, kto twierdził, że jest posiadaczem bazy Morele.net i autorem wycieku oraz ataków na jej klientów. Występował pod pseudonimem Arm. Przeprowadziłem z Armem kilkugodzinną rozmowę i mogę potwierdzić, że faktycznie ma bazę klientów Morele.net.

Większość informacji, które otrzymałem od włamywacza, pojawiło się dzisiaj rano w jego wpisie w serwisie Wykop.pl. Streszczając wypowiedzi włamywacza i moją wiedzę na ten temat:

  • nie wiadomo, jak baza została wykradziona – złodziej twierdzi, że nadal ma do niej dostęp, ale nie mogłem tego zweryfikować,
  • baza faktycznie została wykradziona – na moją prośbę złodziej pokazał mi mój wpis z tej bazy, zgadzały się data założenia konta, użyte hasło, podany numer telefonu i adres e-mail, więc faktycznie był to mój rekord z bazy, który byłby prawie niemożliwy do podrobienia (przynajmniej bez kontroli nad moją skrzynką pocztową, gdzie można znaleźć datę założenia konta),
  • złodziej twierdzi, że w bazie są dane 2,2 miliona użytkowników i jest to możliwe, chociaż całej bazy nie widziałem,
  • złodziej twierdzi, że złamał już kilkaset tysięcy haszy haseł i jest to możliwe,
  • łamanie haseł idzie dość wolno, ponieważ Morele.net użyły funkcji MD5Crypt, która jest dużo odporniejsza na łamanie niż zwykłe MD5 (pod kątem wydajności obliczeniowej ok. 2500 razy odporniejsza, do tego każdy hasz ma swoją własną sól, więc zamiast łamać 2 miliony haszy naraz, każdy trzeba łamać indywidualnie – zatem ok. 2 miliardy razy wolniej niż dla czystego MD5 w przypadku tej bazy),
  • w bazie jest spora grupa użytkowników, którzy przed adresem e-mail mają dodany prefix „allegro_”, których hasze haseł wyglądają jak zwykłe MD5,
  • ok. 28 listopada złodziej skontaktował się z Morele.net, by uzyskać okup – jak sam twierdzi – w kwocie 15 BTC (nie miałem możliwości weryfikacji),
  • cenę podniósł do 20 BTC po tym, jak Morele próbowały zaszyć kod śledzący miejsce otwarcie e-maila w swojej odpowiedzi (nie miałem możliwości weryfikacji),
  • Morele.net grały na zwłokę i ostatecznie zaproponowały złodziejowi zatrudnienie (nie miałem możliwości weryfikacji).

Poniższy zrzut ekranu pokazuje, że faktycznie włamywacz jest w posiadaniu przynajmniej części współczesnych danych, miał także moje konto założone w roku 2010, zatem istnieje spore prawdopodobieństwo, że cała baza znajduje się w jego rękach.

Cele włamywacza i postawa Morele.net

Prawdziwe intencje przestępcy są często trudne do zidentyfikowania, jednak w tym wypadku wyraźnie widzę, że powodem, dla którego dane trafiły wczoraj w moje ręce, a dzisiaj na Wykop, była chęć „dojechania” (jak sam włamywacz mówił) Morele.net.

Warto zauważyć, że postawa Morele.net znacząco się poprawia wraz z rozwojem tego incydentu. Zaczęło się niezbyt dobrze – od wyparcia „to nie od nas wyciekło”. Kiedy jednak firma zdała sobie sprawę ze skali problemu, zaczęła reagować dużo lepiej. Przede wszystkim odmowa wypłacenia okupu jest w tym wypadku bardzo racjonalną decyzją. Ofiara szantażu nigdy nie ma gwarancji, że szantażysta zaspokoi swoje potrzeby wypłaconą kwotą, a zabezpieczenie danych przed ujawnieniem jest praktycznie niemożliwe po tym, jak już wyciekły. Po drugie Morele.net postanowiły zdetonować bombę, na której siedziały. Znam wiele przypadków, gdzie szantażowane firmy do ostatniej sekundy przez publikacją danych przez włamywacza udawały, że nic się nie stało. Morele.net wysłały komunikację do swoich klientów (być może opóźnioną, ale istnieje chociażby przesłanka toczącego się w tej sprawie postępowania, uzasadniająca opóźnienie), jednocześnie wytrącając z ręki szantażysty bardzo ważny argument. Zapewne sprowokowało to przestępcę do eskalacji konfliktu przez publikację szczegółów negocjacji.

Niestety mleko się już rozlało i jeśli robiliście kiedykolwiek zakupy w Morele.net, to Wasze dane, które przekazaliście, są w rękach przestępców. Nie oznacza to jednak żadnej wielkiej zmiany – bo Wasze dane są w rękach przestępców już od dawna, jako że to nie pierwsza duża baza wykradziona przez włamywaczy. Nie ma powodów do paniki i twierdzenia, że od dzisiaj każdy złośliwy e-mail i telefon od telemarketera to sprawka Morele.net.

Wysłaliśmy w związku z tą sprawą kilka pytań do Morele.net – jeśli otrzymamy odpowiedzi, dołączymy je do artykułu.

Aktualizacja 2018-12-20

Otrzymaliśmy oświadczenie Morele.net, które cytujemy w całości:

Szanowni Państwo,

W nawiązaniu do Państwa pytań i artykułu, pragniemy poinformować o zakresie podjętych przez nas działań w związku z zaistnieniem nieuprawnionego dostępu do naszej bazy danych. Około 21 listopada zaczęliśmy otrzymywać informacje o fałszywych SMSach powiązanych z zamówieniami na Morele.net. 23 listopada o tym fakcie poinformowaliśmy Policję oraz rozpoczęliśmy audyt i analizę naszych systemów zabezpieczeń. O tym procesie poinformowany został także Prezes UODO.
Wszelkie późniejsze działania były koordynowane z funkcjonariuszami Policji zajmującymi się cyberprzestępczością. Celem działań operacyjnych, w świetle braku potwierdzonych informacji dotyczących wykorzystania bazy,  było przedłużanie korespondencji z osobą twierdzącą, że taki dostęp posiada i oraz ustalenie jak największej liczby informacji, które mogłyby pomóc w zidentyfikowaniu sprawców odpowiedzialnych za nieuprawniony dostęp. Korespondencja była konsultowana z funkcjonariuszami Policji prowadzącymi śledztwo w tej sprawie. Wobec wyczerpania się powyższych możliwości, postanowiliśmy poinformować wszystkich Klientów o zdarzeniu.
Wyciągamy wnioski z tego zdarzenia, które pozwolą nam na stałe podnoszenie poziomów bezpieczeństwa. Na chwilę obecną zmieniliśmy m.in. sposoby zabezpieczeń haseł użytkowników oraz zabezpieczania dostępu do systemów. To początek procesu, dzięki któremu będziemy mogli minimalizować ryzyka podobnych zdarzeń w przyszłości
 Z wyrazami szacunku,
Radosław Stasiak, dyrektor działu IT
Wojciech Pawlik, dyrektor marketingu