20.12.2018 | 10:36

Adam Haertle

Jak złodzieje chcieli Morele.net szantażować z naszą pomocą

Bycie dziennikarzem w branży bezpieczeństwa sprawia, że rozmawiam z różnymi ludźmi. Często są to ofiary przestępców, a czasem są to przestępcy. Od obu stron barykady można dowiedzieć się ciekawych rzeczy, lecz nie można zapominać przy tym o swojej roli.

Rolą dziennikarza jest informować – identyfikować ciekawe historie, weryfikować je i przedstawiać szerszej publiczności. Gdy zatem odzywa się do mnie posiadacz bazy serwisu Morele.net, w której – według niego – znajdują się rekordy ponad dwóch milionów polskich internautów, to jest to ważny temat i okazja do zebrania istotnych informacji. Trzeba też jednak pamiętać, że mało który przestępca z dziennikarzami kontaktuje się bezinteresownie. Ale po kolei.

Oszustwa, kradzieże, szantaż

Jeśli nie śledziliście całej historii, to w największym skrócie:

Wczoraj, 19 grudnia, odezwał się do mnie ktoś, kto twierdził, że jest posiadaczem bazy Morele.net i autorem wycieku oraz ataków na jej klientów. Występował pod pseudonimem Arm. Przeprowadziłem z Armem kilkugodzinną rozmowę i mogę potwierdzić, że faktycznie ma bazę klientów Morele.net.

Większość informacji, które otrzymałem od włamywacza, pojawiło się dzisiaj rano w jego wpisie w serwisie Wykop.pl. Streszczając wypowiedzi włamywacza i moją wiedzę na ten temat:

  • nie wiadomo, jak baza została wykradziona – złodziej twierdzi, że nadal ma do niej dostęp, ale nie mogłem tego zweryfikować,
  • baza faktycznie została wykradziona – na moją prośbę złodziej pokazał mi mój wpis z tej bazy, zgadzały się data założenia konta, użyte hasło, podany numer telefonu i adres e-mail, więc faktycznie był to mój rekord z bazy, który byłby prawie niemożliwy do podrobienia (przynajmniej bez kontroli nad moją skrzynką pocztową, gdzie można znaleźć datę założenia konta),
  • złodziej twierdzi, że w bazie są dane 2,2 miliona użytkowników i jest to możliwe, chociaż całej bazy nie widziałem,
  • złodziej twierdzi, że złamał już kilkaset tysięcy haszy haseł i jest to możliwe,
  • łamanie haseł idzie dość wolno, ponieważ Morele.net użyły funkcji MD5Crypt, która jest dużo odporniejsza na łamanie niż zwykłe MD5 (pod kątem wydajności obliczeniowej ok. 2500 razy odporniejsza, do tego każdy hasz ma swoją własną sól, więc zamiast łamać 2 miliony haszy naraz, każdy trzeba łamać indywidualnie – zatem ok. 2 miliardy razy wolniej niż dla czystego MD5 w przypadku tej bazy),
  • w bazie jest spora grupa użytkowników, którzy przed adresem e-mail mają dodany prefix „allegro_”, których hasze haseł wyglądają jak zwykłe MD5,
  • ok. 28 listopada złodziej skontaktował się z Morele.net, by uzyskać okup – jak sam twierdzi – w kwocie 15 BTC (nie miałem możliwości weryfikacji),
  • cenę podniósł do 20 BTC po tym, jak Morele próbowały zaszyć kod śledzący miejsce otwarcie e-maila w swojej odpowiedzi (nie miałem możliwości weryfikacji),
  • Morele.net grały na zwłokę i ostatecznie zaproponowały złodziejowi zatrudnienie (nie miałem możliwości weryfikacji).

Poniższy zrzut ekranu pokazuje, że faktycznie włamywacz jest w posiadaniu przynajmniej części współczesnych danych, miał także moje konto założone w roku 2010, zatem istnieje spore prawdopodobieństwo, że cała baza znajduje się w jego rękach.

Cele włamywacza i postawa Morele.net

Prawdziwe intencje przestępcy są często trudne do zidentyfikowania, jednak w tym wypadku wyraźnie widzę, że powodem, dla którego dane trafiły wczoraj w moje ręce, a dzisiaj na Wykop, była chęć „dojechania” (jak sam włamywacz mówił) Morele.net.

Warto zauważyć, że postawa Morele.net znacząco się poprawia wraz z rozwojem tego incydentu. Zaczęło się niezbyt dobrze – od wyparcia „to nie od nas wyciekło”. Kiedy jednak firma zdała sobie sprawę ze skali problemu, zaczęła reagować dużo lepiej. Przede wszystkim odmowa wypłacenia okupu jest w tym wypadku bardzo racjonalną decyzją. Ofiara szantażu nigdy nie ma gwarancji, że szantażysta zaspokoi swoje potrzeby wypłaconą kwotą, a zabezpieczenie danych przed ujawnieniem jest praktycznie niemożliwe po tym, jak już wyciekły. Po drugie Morele.net postanowiły zdetonować bombę, na której siedziały. Znam wiele przypadków, gdzie szantażowane firmy do ostatniej sekundy przez publikacją danych przez włamywacza udawały, że nic się nie stało. Morele.net wysłały komunikację do swoich klientów (być może opóźnioną, ale istnieje chociażby przesłanka toczącego się w tej sprawie postępowania, uzasadniająca opóźnienie), jednocześnie wytrącając z ręki szantażysty bardzo ważny argument. Zapewne sprowokowało to przestępcę do eskalacji konfliktu przez publikację szczegółów negocjacji.

Niestety mleko się już rozlało i jeśli robiliście kiedykolwiek zakupy w Morele.net, to Wasze dane, które przekazaliście, są w rękach przestępców. Nie oznacza to jednak żadnej wielkiej zmiany – bo Wasze dane są w rękach przestępców już od dawna, jako że to nie pierwsza duża baza wykradziona przez włamywaczy. Nie ma powodów do paniki i twierdzenia, że od dzisiaj każdy złośliwy e-mail i telefon od telemarketera to sprawka Morele.net.

Wysłaliśmy w związku z tą sprawą kilka pytań do Morele.net – jeśli otrzymamy odpowiedzi, dołączymy je do artykułu.

Aktualizacja 2018-12-20

Otrzymaliśmy oświadczenie Morele.net, które cytujemy w całości:

Szanowni Państwo,

W nawiązaniu do Państwa pytań i artykułu, pragniemy poinformować o zakresie podjętych przez nas działań w związku z zaistnieniem nieuprawnionego dostępu do naszej bazy danych. Około 21 listopada zaczęliśmy otrzymywać informacje o fałszywych SMSach powiązanych z zamówieniami na Morele.net. 23 listopada o tym fakcie poinformowaliśmy Policję oraz rozpoczęliśmy audyt i analizę naszych systemów zabezpieczeń. O tym procesie poinformowany został także Prezes UODO.
Wszelkie późniejsze działania były koordynowane z funkcjonariuszami Policji zajmującymi się cyberprzestępczością. Celem działań operacyjnych, w świetle braku potwierdzonych informacji dotyczących wykorzystania bazy,  było przedłużanie korespondencji z osobą twierdzącą, że taki dostęp posiada i oraz ustalenie jak największej liczby informacji, które mogłyby pomóc w zidentyfikowaniu sprawców odpowiedzialnych za nieuprawniony dostęp. Korespondencja była konsultowana z funkcjonariuszami Policji prowadzącymi śledztwo w tej sprawie. Wobec wyczerpania się powyższych możliwości, postanowiliśmy poinformować wszystkich Klientów o zdarzeniu.
Wyciągamy wnioski z tego zdarzenia, które pozwolą nam na stałe podnoszenie poziomów bezpieczeństwa. Na chwilę obecną zmieniliśmy m.in. sposoby zabezpieczeń haseł użytkowników oraz zabezpieczania dostępu do systemów. To początek procesu, dzięki któremu będziemy mogli minimalizować ryzyka podobnych zdarzeń w przyszłości
 Z wyrazami szacunku,
Radosław Stasiak, dyrektor działu IT
Wojciech Pawlik, dyrektor marketingu
Powrót

Komentarze

  • 2018.12.20 11:07 WAZNIAK

    Skoro gostek chcial sie zemscic na morelach, to po co lamie hasla userow?

    Odpowiedz
    • 2018.12.20 12:22 Tomphon

      On ich nie łamie, on je poprostu zdobył.
      A że Morele są dziurawe jak ser francuski to świadczy to tylko o ich niekompetencjach.
      Firma która posiada wrażliwe dane klientów w ten sposób je zabezpiecza to znaczy że nie można jej ufać

      Odpowiedz
      • 2018.12.20 13:23 Pablo

        No przecież napisał, że łamie. W bazie są przechowywane tylko hashe haseł- trzeba je łamać, by uzyskać oryginalne hasła. Gdyby intencjami nie były kolejne ataki na klientów sklepu, z użyciem ich maili i haseł, to by tego nie robił. Jednym słowem- zwykła przestępcza szm*ta.

        Odpowiedz
      • 2018.12.20 13:31 R

        Przeciez oni nawet nie maja wlasnej serwerowni. Cale to g..o IT trzymaja w chmurze. To sie nazywa „optymalizacja kosztow” aka „mamy wszystko w d..pie, byleby dzialalo i bylo tanie”.

        Odpowiedz
        • 2018.12.21 16:51 Borat

          A który sklep internetowy ma własną serwerownię? Chyba tylko giganci tacy jak Amazon.

          Odpowiedz
          • 2018.12.21 18:47 Artur

            Amazon jest hostowany na AWS :)

      • 2018.12.20 13:40 WAZNIAK

        Lamanie hasel jest rozne od ich posiadania.

        Odpowiedz
      • 2018.12.20 14:34 dave

        W taki sposób można opisać KAŻDĄ firmę. Nie bronię tego sklepu, ale do włamów czy wycieków danych dochodzi w znacznie większych miejscach.

        Bardziej zastanawiające jest to, dlaczego rok bez wpadki Morele jest rokiem straconym. Tam ktoś ewidentnie rzuca im kłody pod nogi, może właściciel robił lewe interesy albo były pracownik daje o sobie znać.

        Odpowiedz
      • 2018.12.20 18:03 kapelan

        przestępca twierdzi ze posiada takze pesele i skany dowodow osobistych, dajcie mi tego cwaniczaka ktory pod poprzednim artykulem twierdzil ze nie moge podac do sadu tej niekompetentnej firmy bo wlasnie nie podawalem peselu i skanow dowodow…
        ciekawi mnie tez czy moje haslo zostalo zlamane…

        Odpowiedz
        • 2018.12.20 19:44 Duży Pies

          Gdy tam zakładałem konto kilka lat temu, żadnego PESELu i skanu DO nie podawałem. Nie wiem czy takowe w ogóle były wymagane przez Morele? Konto zresztą usunąłem na wieść o wycieku ich bazy. Chyba więcej już tam niczego nie kupię.

          Odpowiedz
          • 2018.12.27 07:37 ja z domu

            Może pesel/skan dowodu był wymagany w przypadku zakupów na raty i faktycznie mogą mieć takie dane dla części userów.

        • 2018.12.28 02:11 Ja

          Chciałbym też to zrobić, jak się skontaktować z Tobą?

          Odpowiedz
    • 2018.12.20 14:21 Wujek Pawel

      Lepiej. On twierdzi, ze ma caly czas dostep, Morele twierdza, ze problem zidentyfikowali i naprawili. Pytanie bo nie wiem albo mi umknelo: Czy Morele zmienily wszystkim hasla z automatu czy nie? Jesli tak i prawda jest, ze problem zostal naprawiony, to jedyny sens dalszego lamania hasel jaki widze to nadzieja, ze jakis odsetek klientow Morele uzywa tej samej pary email/login/haslo w innych serwisach i tam hasla nie zmienil.

      Odpowiedz
      • 2018.12.20 14:51 Marcin

        Zero resetowania konta i wymuszenia zmiany hasła… Ba, zero komunikatu po zalogowaniu się na Morele, że miał miejsce wyciek i jest zalecana zmiana hasła. Słabo Morele, słabo…

        Odpowiedz
        • 2018.12.20 17:00 Bogdan

          Pitolisz panie… Był mail z prośbą o zmianę hasła, na stronie głównej prosba o zmianę hasła, wv wsiach prośby o zmianę hasła… Co teraz można więcej zrobić.

          Odpowiedz
          • 2018.12.20 17:07 Adam Haertle

            Zresetować wszystkim hasła, to proste.

          • 2018.12.20 20:44 Edek

            @Bogdan Może po prostu z automatu wymusić ustanowienie nowego hasła od razu po zalogowaniu ?

          • 2018.12.20 21:00 Wujek Pawel

            Co mozna (bylo) wiecej zrobic? Skoro twierdza, ze problem zidentyfikowali i naprawili to powinni zmienic wszystkim hasla z automatu i poinformowac mailo, zeby pozmieniali hasla we wszystkich serwisach w ktorych uzywaja tej samej pary login/email/haslo. Myslenie level Morele.

          • 2018.12.21 08:58 Tomek

            Jak widać w końcu wymusili zmianę… Przy logowaniu się na stronie pojawia się komunikat:

            Dla twojego bezpieczeństwa 20.12.2018 twoje hasło zostało zresetowane. Jeżeli zmieniłeś już hasło zignoruj tę wiadomość. Aby ustawić nowe hasło skorzystaj z opcji „nie pamiętam hasła”. Jeżeli używałeś tego samego hasła na innych stronach rekomendujemy zmianę również tam.

            Ale fakt, powinni to zrobić już pierwszego dnia.

        • 2018.12.21 14:20 Pablo

          Jeśli nie byli pewni, czy przestępcy dalej mają dostęp do bazy, to wymuszenie zmiany wszystkich haseł userów było by głupotą. Taką czynność się robi dopiero wtedy, jak ma się 100% pewność, że dane już nie wyciekają. Jeśli Morele wymusiły zmianę wszystkich haseł wczoraj, to najpewniej dopiero wczoraj zyskali pewność, że źródło wycieku jest zlikwidowane.

          Odpowiedz
    • 2018.12.20 16:58 kez87

      To, że jest przestępcą – przestępstwem są właściwie każde „nie zamawiane testy penetracyjne” więc…
      Wydaje mi się,że przestępca po niezbyt udanej próbie wyprowadzenia kasy z kont bankowych ( https://zaufanatrzeciastrona.pl/post/uwaga-na-duza-fale-atakow-udajacych-posrednikow-szybkich-platnosci/ ) próbował szantażować morele.Tyle,że przy tym szantażu zagrał trochę zbyt nerwowo – WYKOP ?! No to Arm ty frajerze – szykuj już piżamkę,szczoteczkę i korek do tyłka (ten ostatni będzie potrzebny przy schylaniu się po mydło),bo znając życie przy założeniu konta albo logowaniu to nie był tak ściśle TOR,wykop używa też javascriptu i jak cyberpieski tylko poproszą Białka to pewnie wezmą Arm-a za jajka :P

      Odpowiedz
      • 2018.12.20 21:27 zeq

        i co ci niby z tego javascriptu?

        Odpowiedz
        • 2018.12.21 16:47 Panopticlick

          mają fingerprinta twojego systemu i jak usłyszysz dzwonek do drzwi, to nie będzie listonosz

          Odpowiedz
      • 2018.12.21 08:05 radek

        Wystarczy używać mydła w płynie ;)

        … no i nie spać na brzuchu.

        Odpowiedz
    • 2018.12.21 09:16 Rudy

      Aby „dojechać” ich jeszcze bardziej. Co można zrobić z kontem znając hasła w systemie zakupowym?

      Odpowiedz
  • 2018.12.20 11:20 Patryk

    „nie wiadomo, jak baza została wykradziona – złodziej twierdzi, że nadal ma do niej dostęp, ale nie mogłem tego zweryfikować”

    Nie można było zweryfikować poprzez założenie nowego konta podczas rozmowy z tą osobą i prośbę o pobranie z bazy rekordu nowo założonego konta?

    Odpowiedz
    • 2018.12.20 12:25 Doman

      Widocznie nie można. Wystarczy, że arm nie zgodził się na taki test.

      Odpowiedz
  • 2018.12.20 11:25 stefan

    Kupiłem przedmiot na allegro – od morele jak się okazało – te hashe z allegro to prawdopodobnie jakieś identyfikatory a nie prawdziwe hasła

    Odpowiedz
    • 2018.12.20 14:58 Kosmix

      prefix „allegro_” dotyczy zakupów dokonanych na allegro oraz ich importu do panelu zamówień. Żadne hasło w tym przypadku nie ma racji bytu. Takie konto posiada „jedynie” adres, email i telefon jeśli Cię to pocieszy :)

      Odpowiedz
  • 2018.12.20 11:27 beesel

    To moze lepiej tez nie zakładać kont w celu zakupów do czasu załatania

    Odpowiedz
  • 2018.12.20 11:29 Caspinos

    W morele miałem dość proste hasło i wczoraj miałem (nieudaną) próbę logowania na konto na Facebook’u założone na ten sam adres email – informacja o złamaniu części hash’y wydaje się wiarygodna.

    Odpowiedz
    • 2018.12.20 13:03 abe

      Miałem podobną sytuację, po 4 rano miałem próbę logowania się na swoje konto na FB – ten sam adres e-mail. Hasłem był losowy ciąg znaków, wygenerowany z keepass-a.

      Odpowiedz
  • 2018.12.20 11:52 idiota

    a ja myślałem, że to nic poważnego i kilka dni temu zamówiłem kompa. oczywiście musiałem się zarejstrować

    Odpowiedz
  • 2018.12.20 12:08 dobreta

    Nożesz, świetnie! Nigdy więcej morele:(
    Najgorsze że usunięcie konta nic nie daje, zostają dane z faktur:(

    Amatorzy…

    Odpowiedz
    • 2018.12.20 12:55 Paweł

      Z tego co czytałem to te dane są przechowywane w bazach operatora płatności, a nie na morelach.

      Odpowiedz
    • 2018.12.20 14:23 Wujek Pawel

      Nie Morele pierwsze i nie ostatnie gdzie twoje dane wyciekly albo wyciekna. Takze sie nie spinaj, tylko tam gdzie to mozliwe uzywaj zmyslonych danych i dedykowanego maila.

      Odpowiedz
  • 2018.12.20 12:13 info

    a co na to RODO ?

    Odpowiedz
    • 2018.12.20 12:50 Olaf

      To na to, że zarząd spółki musiał o tym incydencie niezwłocznie poinformować UODO.

      Odpowiedz
  • 2018.12.20 12:41 TheExitest

    Może mam dwóję z czytania ze zrozumieniem ale gdzie w tym miałaby być wasza pomoc w szantażu?

    Odpowiedz
    • 2018.12.20 12:48 Adam Haertle

      Bardzo proste – publikacja ma być formą nacisku by Morele zapłaciły szantażyście.

      Odpowiedz
      • 2018.12.20 12:56 TheExitest

        IMO to by się zgadzało gdybyście opublikowali artykuł przed poinformowaniem klientów orazem postem na Wykopie oraz Arm skontaktował się z wami przed opublikowaniem informacji przez morele o kradzieży bazy. Jak dla mnie trochę clickbait

        Odpowiedz
      • 2018.12.20 13:16 Ł.O.

        Miałem tę samą wątpliwość. Myślę, że warto doprecyzować w tekście.

        Odpowiedz
      • 2018.12.20 20:44 Jan Kowalski

        Jest to chyba pierwsza czynność, którą powinni zrobić po wycieku. Niestety w tej śmiesznej firmie za bezpieczeństwo odpowiada jakiś dzban i na to nie wpadł.

        Odpowiedz
  • 2018.12.20 12:45 agilob

    Nadal nie wiem jak złodzieje chcieli Morele.net szantażować z Wasza pomocą

    Odpowiedz
  • 2018.12.20 12:51 jan

    To kogo mam pozwać o to, że moje dane latają po sieci?

    Odpowiedz
    • 2018.12.20 13:28 R.

      Nikomu. To nikogo nie obchodzi. Jednak gdybys Ty „udostepnil” dane Morele w najlepszym razie mialbys kontrole z PUODO, jak nie wyladowalbys w pierdlu. Wiem jak ten syf dziala.

      Odpowiedz
    • 2018.12.20 13:38 jaykob

      Pozwać Morele, najlepiej pozwem zbiorowym

      Odpowiedz
    • 2018.12.20 13:41 Marcin

      Zacznij od pozwania Internetu, gdzie jest jego siedziba wygooglujesz sobie bez problemu, a jakbyś jeszcze potrzebował miejsc to tutaj znajdziesz ich jeszcze więcej:
      https://haveibeenpwned.com/

      Odpowiedz
    • 2018.12.20 13:45 spark

      Morele, zbiorowy pozew.

      Odpowiedz
  • 2018.12.20 13:12 K

    Czy przy md5crypt złodziej dostanie dostęp do wszystkich haseł, czy tylko tych najprostrzych/popularnych?

    Odpowiedz
    • 2018.12.21 08:11 radek

      Raczej tylko do prostych/popularnych. Raczej nie ma sensu odwracać hashy próbując __wszystkich__ możliwych ciągów znaków. Podejrzewam, że leci po hashu jakimś słownikiem, jak coś się trafi to ok, jak nie, to skacze do następnego rekordu z bazy, bo szkoda czasu – zamiast tego lepiej złamać kolejne typu „dupa8”.

      Odpowiedz
  • 2018.12.20 13:23 Bieznar

    Ile morele placi za takie artykuly popierajace ich wersje?:) Wciskani kitu, ze „moje dane sa super bezpieczne” itp. nie pamietalem nawet, ze mam tam konto. Teraz juz nie mam na pewno :) gratulacje morele.

    Odpowiedz
  • 2018.12.20 13:25 R.

    „Przede wszystkim odmowa wypłacenia okupu jest w tym wypadku bardzo racjonalną decyzją.” – oczywiscie. Bo kasa sie zgadza, a ze klienci maja przechlapane… Kogo to obchodzi. To faktycznie bardzo racjonalna decyzja. Tak sama jak „z porywaczami nie negocjujemy” – i nie wazne jak ktos zaliczy kulke w leb. Ale wystarczy, aby ktos wyslal list z pogrozkami jakiemus VIPowi, to juz ma SWAT na glowie.

    Jak zwykle myslenie niedojrzale i medialne.

    PS
    Gdzie dzialanie RODO? Czy Morele zglosil juz incydent – co jest WYMAGANE prawem – czy nadal udaje, ze problem nie istnieje?

    Odpowiedz
    • 2018.12.20 17:25 kez87

      Teoretycznie włamywacz może podać tylko część problemów a jakiegoś backdoora czy buga zostawić „na potem”,bazy też raczej nie skasuje po otrzymaniu okupu więc to żaden wielki interes (pewnie,jakiegoś buga którego nie zauważy ladmin może wskazać,ale 15 btc to nie jest warte).Z drugiej strony – zastanawiam się PO CO ci przestępcy bawią się w takie szantaże i otwarcie przyznają sie do ataku ? Dla nich też to przecież nie będzie żaden interes. Firmy i instytucje państwowe i tak nie zapłacą,a w ten sposób atakujący ryzykują tylko złapanie – polują na trochę za grubego i zbyt agresywnego zwierza.

      Odpowiedz
  • 2018.12.20 13:27 fir3

    Trik z łączem jest znany, ale zawsze mi sie wydawało ze jest skuteczny tylko w tedy kiedy odbiorę pocztę lokalnie w sesie aplikacja jak Thunderbird i w tedy zdradzi moje IP.
    A jak to dział jak sprawdzam pocztę przez web ? Przeglądarka chyba otwiera i pobiera (obraze) z łącza na moim lokalnym PC

    Jak to jest ?

    PS: Lenia mam i nie chce mi sie tego sprawdzać ;)

    Odpowiedz
    • 2018.12.20 18:04 WAZNIAK

      Thunderbird domyslnie blokuje obrazki.

      Odpowiedz
    • 2018.12.21 04:31 Michal

      Jeśli przeglądarka odpali kod w javascript, to ten może zrobić co tylko zechce, np pobrać coś skądś.

      Odpowiedz
  • 2018.12.20 13:36 Ktoś

    #jan – Kaczyńskiego z Ziobro podaj do sądu. Wszystko wina pIs :)

    Odpowiedz
  • 2018.12.20 13:45 Kaziu

    W jaki sposób oszust dowiadywał się o złożonych zamówieniach?

    Odpowiedz
  • 2018.12.20 14:19 Xayro

    Zmiana hasła na morele może prowadzić do tego, że będą w posiadaniu dwóch haseł… Najlepiej wymyślić całkiem nowe i za jakie czas pewnie znów będzie trzeba zmienić.

    Odpowiedz
  • 2018.12.20 14:31 Marcin

    Czy istnieje powód, dla którego Morele nie zdecydowało się na wymuszony reset wszystkich haseł?

    Odpowiedz
  • 2018.12.20 15:16 a

    Proszę o podpowiedź, jak to działa:

    Załóżmy zakładam gdzieś konto z hasłem nr1, następnie zmieniam to hasło na hasło nr2.
    Po tej zmianie hasła następuje włamanie – jak tutaj.

    Czy oba moje hasła są zagrożone czy tylko to hasło nr2?

    Odpowiedz
    • 2018.12.22 22:47 K6T

      Obydwa hasła należy rozważać jako spalone. Np. atakujacy może mieć dostęp do backupów.

      Odpowiedz
  • 2018.12.20 15:23 Luke

    A czy próbowano zweryfikować twierdzenie, że „wciąż ma do niej dostęp”?…

    Odpowiedz
  • 2018.12.20 17:57 kapelan

    mam nadzieje ze smarkacz odpowie za to, widac ze to jakies dziecko ktorym rodzice sie nie zajmowali i teraz robi ludziom numery xD
    ciekawy case i ciekaw jestem gdzie „przestępca” zostawi ślad, uzywal protonmaila wiec tez bylaby ciekawa ich reakcja.

    Odpowiedz
  • 2018.12.20 17:58 Mra

    Ciekawie opisane, morelom współczuje (moje dane tez sprzeniewierzyliście) …ale mniejsza o to.
    Co do Arm’a – mam wrażenie, ze cel mu faktycznie szczytny przyświecał … a przecież „masowe mailingi” niebezpiecznik nakłonił do zakupu niejednej ksazki dla bibliotek – fakt, że w nieco inny sposób :P
    W mojej ocenie głupotą było pisanie z palca zamiast EN=>PL przez translatora. Co do oferty „zatrudnienia” … historia zna już takie przypadki:
    „Doszło do nawiązania kontaktu i mężczyzna został zaproszony do współpracy. W czasie spotkania, na które mężczyzna został zaproszony miała zostać podpisana umowa o dzieło, na podstawie której miał rozpocząć prace w celu usunięcia luk w zabezpieczeniach. Mężczyzna przyjechał na umówione spotkanie, tam podpisał przedstawione mu zobowiązanie do zachowania poufności (z datą sprzed wykrycia błędów), a następnie został zatrzymany przez współpracującą z przedsiębiorstwem Policję. ”
    Źródło: http://prawo.vagla.pl/node/8154 …sąd uniewinnił, ale niesmak pozostał.

    Odpowiedz
    • 2018.12.20 19:51 Duży Pies

      „cel mu faktycznie szczytny przyświecał”
      Koleś, trollujesz Bożonarodzeniowo, czy naprawdę wierzysz w te bzdury które piszesz? Chyba lepiej już żebyś był tylko pospolitym trollem, niż cyber-przygłupem!

      Odpowiedz
      • 2018.12.21 07:52 MalyPiesio

        Uwielbiam Cię @Duży Pies, Twoje komentarze są super, mają swój styl, trafnie odkrywasz przywary tego świata IT.

        Odpowiedz
  • 2018.12.20 18:42 Arm

    Odpowiedz
  • 2018.12.20 19:30 bumtararara

    Arm? przecież to nawet nie jego ksywa, typowy piwniczak, a morele? kij z nimi, ale tego cwaniaczka to ja bym rozhaszował na części :)

    Odpowiedz
  • 2018.12.20 20:18 WAZNIAK

    ” na moją prośbę złodziej pokazał mi mój wpis z tej bazy, zgadzały się data założenia konta, użyte hasło, podany numer telefonu i adres e-mail,”

    Czyli Pan Adam mial lipne haslo, ktore zostalo zlamane????

    Odpowiedz
    • 2018.12.20 23:16 Adam Haertle

      Drogi Ważniaku, znając swoje hasło i użytą sól mogłem je sobie zaszyfrować i porównać z tym haszem, który podał mi włamywacz. Zgadzał się.

      Odpowiedz
      • 2018.12.22 00:32 msz

        zahashować

        Odpowiedz
      • 2018.12.22 16:19 Marcin

        Adam a skąd znałeś sól?

        Odpowiedz
        • 2018.12.22 20:10 Adam Haertle

          Md5crypt trzyma sól w pierwszych znakach hasha

          Odpowiedz
  • 2018.12.20 20:20 WAZNIAK

    „Radosław Stasiak, dyrektor działu IT”

    phpMYADMIN na produkcji dostepny globalnie? REALLY direktorze????

    Odpowiedz
  • 2018.12.20 20:38 Ass

    Jak na kilkugodzinną rozmowę z ARMem, to artykuł jest dziwnie krótki i powierzchowny. O czym więc gadaliście przez resztę czasu?

    Odpowiedz
    • 2018.12.20 23:18 Adam Haertle

      O wielu sprawach. Treść rozmowy objęta jest tajemnicą dziennikarską zgodnie z takim życzeniem rozmówcy.

      Odpowiedz
      • 2018.12.20 23:44 Duży Pies

        Rozmawialiście przez komunikator internetowy puszczony przez Tora, czy przez telefon GSM na kartę czeskiego operatora bez wymaganej rejestracji danych osobowych? Tak tylko pytam xD

        Odpowiedz
        • 2018.12.21 10:10 Zenek

          To był przekaz myśli…

          Odpowiedz
  • 2018.12.20 22:06 kabbik

    ” postawa Morele.net znacząco się poprawia wraz z rozwojem tego incydentu ”

    — buhahahaha, poprawić to jedynie może sprawne działanie Policji oraz dotkliwa kara dla sprawcy lub sprawców. Sklep zawinił po całości, a że czas jest długi, a skala wycieku ogromna to wręcz przeciwnie niczego tu nie poprawia. Istna masakra dopuścić do czegoś takiego.

    Odpowiedz
  • 2018.12.20 22:17 user

    Ciekawe, czy to ma zwiazek:
    https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/
    Potwierdzam proby wchodzenia na unikalne adresy w ciagu kilku dni od wejscia na nie przegladarka ze Stylishem, ktory je wykradal. A adresy chmorowe crmow itp moga miec bardzo duzo przydatnych infomracji, zaleznie od konstrukcji

    Odpowiedz
  • 2018.12.20 22:35 tat tak

    Potwierdzam, że baza danych została odszyfrowana, bo moje hasło też zostało odszyfrowane i jeszcze zażądano ode mnie okupu w bitcoinach(podano nawet nr portfela)

    Odpowiedz
  • 2018.12.20 23:04 andrzej

    Mam pytanie odnośnie haseł, może ktoś życzliwy będzie w stanie odpowiedzieć.

    W artykule jest napisane, że hasła były przechowywane w postaci zahaszowanej a dodatkowo były solone.

    Z tego co rozumiem, łamanie tablicowe nie przejdzie, a ataki typu brute-force/słownikowe mogą, ale żeby było to w miarę efektywne łamiący musiałby znać algorytm solenia haseł przed ich zahaszowaniem?

    Chyba, że atakujący łamie zwykłym brute-force, nie przejmując się salt’em, a kwestia tego, że mógł złamać te X haseł, jest spowodowana żałosną polityką haseł większości użytkowników?

    Czym się autorzy artykułu kierowali pisząc, że możliwe jest, by atakujący dotychczasowo złamał kilkaset tysięcy haseł, z bazy 2,2 miliona użytkowników? Czymś co wymieniłem u góry, a może czymś innym, co mi uniknęło?

    Odpowiedz
    • 2018.12.20 23:15 Adam Haertle

      Dobry słownik rozwiązuje problem.

      Odpowiedz
      • 2018.12.21 09:56 nn

        Ale ta odpowiedź nie rozwiązuje niczego…
        Skoro sól jest losowa (i to dla każdego usera z osobna), to nawet „dobry” słownik nic nie da. Chyba, że czegoś nie rozumiem?

        Odpowiedz
        • 2018.12.21 11:37 WAZNIAK

          Sol jest losowa, ale jest znana. Wiec dla danej soli mozna normalnie uzywac slownik.

          Odpowiedz
          • 2018.12.22 16:39 Marcin

            Znana skąd?

          • 2018.12.22 19:19 ahuk

            bezsensem jest trzymanie soli razem z haslem. morele dalo ciala. spam juz lata na maile z wycieku. script kiddie sprzedal baze.

  • 2018.12.21 06:39 Karol

    Mam pytanie, cy nikt z Państwa nie dostał czasem telefonu z automatu LoanMe po tym wycieku danych z Moreli. Kilku moich znajomych w ostatnich dniach dostało takie telefony. Czyżby baza już została sprzedana?

    Odpowiedz
    • 2018.12.21 08:50 K

      Loanme już dawno prowadzi tak marketing i do mnie i do znajomych pół roku temu wydzwaniali.
      Z resztą, przedostatni akapit przed aktualizacją:
      „Wasze dane są w rękach przestępców już od dawna, jako że to nie pierwsza duża baza wykradziona przez włamywaczy. Nie ma powodów do paniki i twierdzenia, że od dzisiaj każdy złośliwy e-mail i telefon od telemarketera to sprawka Morele.net.”

      Odpowiedz
    • 2018.12.21 09:20 michu

      Chłopie, nie łudź się, że akurat to wina wycieku z Morele jest źródłem Twoich rozterek. Dużych wycieków było mnóstwo, a ile baz danych zostało po prostu sprzedanych przez zaradnych administratorów różnych portali to tego nikt nie wie.

      Twój numer telefonu, e-maile, imię i nazwisko i pewnie jeszcze wiele innych danych już krążą w Internecie.

      Odpowiedz
    • 2018.12.26 00:31 Kapitan B...

      Ja dostałem.

      Odpowiedz
  • 2018.12.21 08:50 Piotr Odpowiedz
    • 2018.12.21 09:35 Anna Wasilewska-Śpioch

      Nie kradnie, pokazuje sprawę z własnej perspektywy. To poważny wyciek, więc nic dziwnego, że nie tylko my o nim piszemy.

      Odpowiedz
      • 2018.12.21 10:36 kapelan

        ja sie zdziwilem bo artykul w pewnych punktach mial indentycnzy styl pisarski. zreszta niebezpiecznik jak dla mnie sie juz dawno skonczyl nie ma tam ciekawy artykulow.

        Odpowiedz
      • 2018.12.23 13:47 Piotr

        Tak 3/4 artykułów pojawiają się kilka godz po was i podobnym stylem pisane. Nie umieścisz komentarza, że to plagiat bo cenzura. Za to są sprzedajnymi k***ami

        Odpowiedz
  • 2018.12.21 09:18 Jacek

    Czyli ZTS kryje przestępcę. To nie jest karalne?

    Odpowiedz
    • 2018.12.21 09:52 Przemkk

      Nie masz pojęcia o prawie prasowym.

      Odpowiedz
      • 2018.12.21 15:00 Jacek

        A muszę mieć?
        Znam prawo, pod które ja podlegam i jak bym kogoś okradł, to pójdę siedzieć, a ty jakiś chłystek z ZTS zasłania się prawem prasowym.
        Ja bym go oskarżył o współudział.

        Odpowiedz
        • 2018.12.21 15:22 Adam Haertle

          Hahaha.

          Odpowiedz
    • 2018.12.21 10:41 Adam Haertle

      Poczytaj prawo prasowe. Karane jest ujawnienie danych informatora który zastrzegł sobie anonimowość.

      Odpowiedz
      • 2018.12.21 16:17 Jacek

        Rozumiem, co do mnie piszesz. Nie zgadzam się z tym 'prawem’.
        To tak ciężko Tobie zrozumieć?
        Nie Was/Ciebie okradano, wiec macie to w D.
        Dla was najważniejszy jest zarobek na artykułach (tych, o którym mowa w tym wątku) i innych, byleby zarobić.
        Jedni zarabiają na kradzieży, inni na pisaniu o złodziejach i przykrywanie się 'prawem prasowym’. Taka jest prawda.

        Odpowiedz
        • 2018.12.21 22:16 michu

          No to właśnie poznałeś kolejny fragment prawa, któremu też podlegasz. Dziwne, że to do Ciebie nie dociera.

          Odpowiedz
        • 2018.12.21 22:34 Adam Haertle

          Jeśli uważasz że nie walczymy ze złodziejami to chyba jesteś tu nowy.

          PS. Nie zarabiam na artykułach, a nawet na nich tracę.

          Odpowiedz
        • 2018.12.22 04:51 Michal

          Przedstaw, miśku, sposób w jaki Z3S miałaby zarobić na tym artykule?
          A prawo nie jest od podobania tylko od egzekwowania. Dura Lex, sed Lex.
          Zawsze możesz próbować zmienić zgłoś projekt obywatelski, znajdź przychylnego posła, użyj prasy, sam zostań posłem, czy załóż partię.
          Tyle możliwości przed Tobą!!

          Odpowiedz
      • 2018.12.22 11:40 vanitas

        To może ujawnisz hashe danych informatora. W md5crypt?

        Odpowiedz
        • 2018.12.22 15:06 Adam Haertle

          Informator przecież nie wysłał mi swojego PESELa… Nie mam żadnych jego danych umożliwiających identyfikację.

          Odpowiedz
      • 2018.12.26 21:55 gość

        No khem. Jak ostatnie wydarzenia pokazują trzeba być uznanym dziennikarzem przez obecne władze by móc zasł.. stosować prawo prasowe do ochorny informatora…. Jak mocne macie papiery na „bycie dziennikarzem” przed obliczem obecnej władzy? :)

        Odpowiedz
  • 2018.12.21 09:29 michu

    Swoją drogą tak czytam dostępne artykuły i widzę, że koleś to chyba jakiś gówniarz. Jeden z dziennikarzy napisał, że cała korespondencja była pisana w stylu „xD”, a powodem włamania miała być chęć „dojechania sklepu”. Żenujący koleś. Mam nadzieję, że teraz dojadą go organy ścigania i będzie mu xD.

    Odpowiedz
    • 2018.12.21 11:39 WAZNIAK

      Styl pisania byl celowy, widac dziennikarzyna g-no sie zna.

      Odpowiedz
      • 2018.12.21 22:15 michu

        Celowy. Celowy… ahaaa… No to wyszedł na gówniarza, cel osiągnięty :). Jak już go organy ścigania „dojadą” to może spoważnieje.

        Duża wpadka pracowników IT Morele, że popełnili jakieś proste błędy, które umożliwiły jakiemuś amatorowi dostać w ręce te dane. Piszę amatorowi, bo sam chwali się, że właściwie to trafił przypadkowo i bez problemów. Może to jedyny moment, żeby zaistniał. Czuje się jak klon Mitnicka :).

        Odpowiedz
        • 2018.12.22 15:08 R.

          Ty nawet tego nie potrafisz, wiec nie wiem o co szczekasz…

          Odpowiedz
  • 2018.12.21 09:53 nnnnn

    „Niestety mleko się już rozlało i jeśli robiliście kiedykolwiek zakupy w Morele.net, to Wasze dane, które przekazaliście, są w rękach przestępców. Nie oznacza to jednak żadnej wielkiej zmiany – bo Wasze dane są w rękach przestępców już od dawna, jako że to nie pierwsza duża baza wykradziona przez włamywaczy. Nie ma powodów do paniki i twierdzenia, że od dzisiaj każdy złośliwy e-mail i telefon od telemarketera to sprawka Morele.net.”

    Można więcej informacji nt tych wycieków, gdzie przestępcy mogą mieć moje dane?

    Ten sam tekst widzę we wszystkich publikacjach na temat tego wycieku, wygląda na sponsorowany przez Morele.net

    Odpowiedz
    • 2018.12.21 21:15 Michal

      https://haveibeenpwned.com/

      Ciekawa teoria, Morele sponsoruje tekst który wykłada kawę na ławę ich winę i piętnuje karygodne postępowanie.

      Odpowiedz
  • 2018.12.21 11:05 urx

    Czy oni naprawdę uważają że policjanci namierzą każdego włamywacza? Moim zdaniem to zbędne zawracanie d.. Policji:

    „działania były koordynowane z funkcjonariuszami Policji zajmującymi się cyberprzestępczością”
    „Korespondencja była konsultowana z funkcjonariuszami Policji prowadzącymi śledztwo w tej sprawie”

    Odpowiedz
  • 2018.12.21 13:27 Zdzich

    „Ofiara szantażu nigdy nie ma gwarancji, że szantażysta zaspokoi swoje potrzeby wypłaconą kwotą, a zabezpieczenie danych przed ujawnieniem jest praktycznie niemożliwe po tym, jak już wyciekły.” – dokładnie tak! stąd jakiekolwiek „pójście na układ” z kimś kto w ogóle dopuścił się takiego postępowania nie ma żadnego sensu.

    Odpowiedz
  • 2018.12.21 14:15 Paweł

    Pieniędzy klientom też nie oddają w terminie 14 dni godnie z prawem. Musiałem odstąpić od umowy, bo dają oferty a sprzęt przychodzi niekompletny. Dział reklamacji to porażka- schematyczne ( może bot) odpowiedzi jak zdarta płyta. Telefonicznie brak możliwości rozmowy i wyjaśnienia sprawy. Do tego ten wyciek- 2019 to koniec tego sklepu.

    Odpowiedz
    • 2019.01.17 15:00 Paj

      Hmm… myślisz, że to jakiś sfrustrowany słabą obsługą klient? ;)

      Odpowiedz
  • 2018.12.22 00:59 Hehehe20

    Dzieciak który dostal się przypadkiem na serwer morele i do tego jeszcze serwer ktory nie byl zabezpieczony…i sam się do tego przyznał hahah to niezły craker…

    Odpowiedz
  • 2018.12.22 08:42 Pablo

    I tak już ma dane… więc zmiana hasła co wam da? Haha

    Odpowiedz
  • 2018.12.23 05:57 Drawer

    Biedne trele-morele, zostalo oszukane a samo oszukiwalo. Cisza przeszly afery jak morele sprzedawalo zamowienia na karty graficzne w okresie cyfrowej goraczki zlota, znajomy padl ofiara takiego zamowienia, skaldales zamowienie, wplacales zaliczke i czekales na karty a w tym czasie morele wystawialo na aukcje to zamowienie i sprzedawalo tym co dali najwiecej. Zero zasad . Nie lubie morele od tego momentu. Nie powiem ze im dobrze z tym wlamaniem ale zasad handlu sie powinno trzymac albo sie prowadzi sklep albo wydmuszke handlowa.

    Odpowiedz

Zostaw odpowiedź do Ass

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak złodzieje chcieli Morele.net szantażować z naszą pomocą

Komentarze