Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów
Nie tylko dane klientów padły łupem włamywaczy, którzy zaatakowali Morele.net. W ręce złodziei trafiły także 242 loginy i hasła dostępowe kont używanych przez Morele.net w innych serwisach. Wygląda na to, że były przechowywane zwyczajnie w bazie danych.
W nasze ręce trafił plik zawierający loginy i hasła do ponad 200 zewnętrznych serwisów, z których korzysta sklep Morele.net w ramach swojej działalności. Plikiem tym złodzieje dzielą się w swoim zaufanym gronie. Jak widać, nie do końca zaufanym.
Czego potrzeba do prowadzenia sklepu
Fragment pliku wygląda następująco:
Polecenie, którego użyto, by wykonać ten eksport danych, to
mysql> select service_name, service_login, service_password from service; select service_name, service_login, service_password from service;
W bazie znajdziemy pola, których opis wskazuje, że służą między innymi do logowania do takich serwisów jak InPost, Allegro, Amazon, Skąpiec, Ceneo, Opineo, Ecard, Action, ABCData, Paypal, Schenker, Google, Santander, Przelewy24, Veracomp, GetResponse, Ruch czy Poczta Polska. Mamy więc zarówno pośredników płatności, firmy kurierskie, jak i platformy handlowe i ratalne. W bazie nie brakowało także danych do logowania do wewnętrznych systemów firmy.
Skutki dla klientów
Fakt, że przestępcy opublikowali zestaw loginów i haseł może świadczyć o tym, że te informacje nie posiadają już istotnej wartości. Pozostaje mieć nadzieję, że pracownicy Morele.net natychmiast po wykryciu wycieku zmienili wszystkie hasła, a włamywacze nie mieli już dostępu do bazy, by pobrać nowe. Jeśli jednak przestępcy choć przez chwilę mieli dostęp do kont Morele.net w innych serwisach, to prawdopodobnie mogli również stamtąd wykraść dane.
Choć opublikowany zrzut bazy wygląda, jakby mógł pochodzić z systemów Morele.net, to możliwe także, że w firmie hasła były przechowywane w inny sposób, a bazę sporządzili sami przestępcy. Zadaliśmy kilka pytań Morele.net, by wyjaśnić, skąd pochodziły hasła i czy zostały już zmienione, lecz do momentu publikacji wpisu nie otrzymaliśmy jeszcze odpowiedzi.
Wszystkim Czytelnikom, którzy posiadają duże zbiory haseł w formie baz danych, arkuszy Excela czy plików txt przypominamy przy tej okazji, że istnieją takie narzędzia jak Dashlane czy Keeper.
Aktualizacja 2018-12-27 22:00
Otrzymaliśmy komentarz Morele.net o następującej treści:
A co myślicie o Bitwarden?
Open source, przejrzysty, działa, używam zamiast lastpassa i jestem zadowolony
a dlaczego nie właśnie lastpass?
LastPass miał wyciek danych. Dwukrotnie z tego co pamiętam.
no i LastPass jest closed-source w przeciwieństwie do Bitwarden. W Bitwarden możesz nawet sam hostować swoją bazę danych haseł.
Ja przestałem Lastpassowi ufać po bałaganie jaki urządzili z XMarks. Miałem płatne konto premium na XMarks i Lastpassa, ale po którymś z uaktualnień wtyczki bookmarkowanie przestało poprawnie działać. Porady ich „wsparcia” klienta sprawiły że w bookmarkach zrobiła się kompletna sieczka. Wpisy były zduplikowane, kompletnie przemieszane, odtwarzanie z wcześniejszej kopii w bazie nie działało. Zmarnowałem prawie tydzień żeby przywrócić zakładki do używalności (w tym całym bałaganie z duplikatami miałem ponad 12 tyś. wpisów), ale w dalszym ciągu mam kilka tysięcy zakładek w głównym katalogu z którymi muszę coś zrobić. To są głównie duplikaty, ale trzeba je wszystkie poprzeglądać, pokasować, a te które nie są kopiami przenieść do odpowiednich folderów. Jedyną dobrą rzeczą jaką mogę o nich powiedzieć to to, że bezproblemowo zwrócili pieniądze pobrane za konto XMarks premium, które się przedłużyło zanim zdążyłem je skasować.
Dalej używam LastPassa, ale regularnie robię kopię bazy, i szukam czegoś czym mógłbym go zastąpić. Niestety KeePassa nawet nie udało mi się uruchomić (wywalał się przy próbie dodania konta do bazy), ale Bitwarden wygląda dość ciekawie.
Spróbuj raindrop.io – wywali Ci duplikaty i 100x lepsze niż gówniane Xmarks.
Używam od dłuższego czasu. Ostatnio zmigrowałem sejf na swój serwer. Szczerze polecam. Świetnie integruje się z przeglądarkami, systemami, telefonami, jest wygodny i szybki.
Jak z przerzucaniem bazy z keepass-a?
My w firmie uzywamy Teampass.
Jeżeli używacie TeamPass to zróbcie sobie jego audyt bezpieczeństwa.. lub sprawdźcie ilość pull request do repo z poprawkami bezpieczeństwa..
Nie mamy tego wystawionego na zewnatrz.
Niewystawianie na zewnątrz dalej nie łata luk bezpieczeństwa.. Tylko lekko ogranicza ilość z całego świata do własnych pracowników (którzy często potrafią być bardziej zmotywowani do ataku niż reszta świata) ;-)
KeePass. Tylko i wyłącznie od niepamiętnych czasów.
Swoją drogą, ciekawe czy wyciekły też licencje elektroniczne na oprogramowanie (np. klucze aktywacyjne Windowsa) zakupione w Morelach, które normalnie są widoczne w panelu użytkownika po zakupie i nie da się ich stamtąd usunąć…
Ja bym się spodziewał,że prawdopodobnie MOGŁY. Ale o tym raczej nie dowie się Adam czy ktokolwiek inny,bo te licencje są cokolwiek warte. I jeśli hasła zmieniono dopiero 1,5 godziny po opublikowaniu artykułu to OZNACZAŁO BY TO,ŻE CRACKERZY („HACKERZY” BLACK HAT) MAJĄ NADAL DOSTĘP DO WIELU AKTUALNYCH DANYCH TEJ FIRMY.
Co kilka dni okazuje się, że ten wyciek ma coraz większe konsekwencje dla zwykłych użytkowników. Zaczęło się od zwykłego wycieku, a powoli zmierza to w stronę apokalipsy bazo-danowej jak na Polskie warunki. Myślę, że śmiało można ten wyciek nazwać największą wpadką IT w 2018 roku w Polsce.
Zakupy tam robiłem może z 3-4 lata od początku istnienia sklepu, ale konto usunięte i wracać po czymś takim nie zamierzam.
Mimo że usunąłeś konto, Twoje dane wyciekły bo Morele ich nie skasowało tylko otagowało. Patrz na portal niebezpiecznik
Co sądzicie o Norton Password Manager ? Warto korzystać jeżeli posiada się subskrypcję na antywirusa ?
Ważne żebyś używał jakiegokolwiek managera haseł, dostawca jest rzeczą drugorzędną, zależną mocno od własnych preferencji. Dlatego odpowiadając na Twoje pytanie – tak, warto. Upewnij się tylko, że będziesz w stanie zmigrować bazę jakbyś w przyszłości zdecydował się zmienić antywirusa/manager haseł.
Wziąłbym pod uwagę to, czy kiedykolwiek zrezygnuję z tej subskrypcji i czy da się później zmigrować hasła do innej bazy. Do tego lepiej sprawdzić, ile rodzajów systemów i urządzeń jest wspieranych w porównaniu z innymi managerami. Po tej analizie spokojnie zdecydujesz :)
> Jak widać, nie do końca zaufanym
Oj będą teraz szukać „konfidenta” ;D
Piszecie, że istnieją: Dashlane, Keeper z komentarzy dowiaduję się o: Bitwarden, Lastpass, Teampass a nie widzę aplikacji Keepass – co w niej złego, że nie warto o KeePass wzmiankować ? Są jakieś zagrożenia z jej korzystania – poza faktem, iż wszystko trzyma w jednym pliku.
Droga ZTS poproszę o artykuł porównujący obecne narzędzia typu password menadżer.
Dziękuję i pozdrawiam
KeePass jest raczej offline i dlatego nie jest tak popularny i nie ma wtyczki do przeglądarki itp… Jest to bardzo dobry manager haseł ale celuje w inną grupę użytkowników można w nim trzymać hasło do Bitwarden, Lastpass, Teampass :-)
Bzdury. 1. Ma wtyczki do przeglądarki. 2. Jest również on-line.
Wiem, bo używam na: android w telefonie, komp domowy, pendrive w pracy
Są wtyczki, ale nieoficjalne, nie przeszły żadnego audytu. Nie ma gwarancji, że nie ma jakiejś „dziury” na styku KeePass-wtyczka, albo w samej wtyczce.
Akurat do keepassa jest wtyczka ChromeIPass, która łączy się z bazą danych keepassa. Korzystam od ponad 2 lat.
Nie ma nic złego w KeePass, wręcz przeciwnie. Każdy dobiera manager haseł w zależności od modelu zagrożeń, osobistych preferencji i przede wszystkim potrzeb (przykładowo w KeePass trzeba samemu ogarnąć synchronizację pomiędzy urządzeniami, niektórym to przeszkadza). Tak samo nikt tutaj nie wspomniał o 1Password, przypuszczalnie dlatego, że jest płatny.
Cała ta dyskusja o programie do zarządzania hasłami jest tylko częściowo trafiona. Czy w tym dumpie były tylko konta używane sporadycznie przez pracowników, czy też maszynowe?
Zarządzanie „credentials” jest trudne.
Jeśli chodzi o manager haseł to LastPass (mieli wpadkę, to się czegoś nauczyli), 1Password (sensowny mechanizm ochrony danych, który nie wyklucza synchronizacji), ponoć również dashlane.
Jeśli firma, która produkuje managera, oferuje opcję „odzyskaj hasło” i to wystarczy żeby dostać się do moich haseł, to trzeba szukać dalej. Taki tip pomocny w ocenianiu różnych managerów.
KeePass jest raczej offline i dlatego nie jest tak popularny i nie ma wtyczki do przeglądarki itp… Jest to bardzo dobry manager haseł ale celuje w inną grupę użytkowników można w nim trzymać hasło do Bitwarden, Lastpass, Teampass :-)
Bzdura, keepass ma wtyczkę kee do przeglądarek, są aplikacje mobilne i można synchronizować bazę w dowolnej chmurze -dropbox, google, etc. I to wszystko open source więc dziesiątki oczu robi audyt :)
To prawda, że ma wtyczkę do przegladarki ale porównując rozwiązanie Keepass vs LastPass czy Bitwarden lub innych wypada gorzej pod względem funkcjonalności i łatwości obsługi dla laika. Więc bardziej popularne są rozwiazania typu LastPass czy Bitwarden. Ja osobiście używam KeyPassXC do bardzo ważnych haseł właśnie z względu na bezpieczeństwo a do takich zwykłych haseł mam Bitwarden.
Przerażajace… gdyby ktoś chciał, majac tyle danych jest w stanie zniszczyć morele w 3 dni tak mocno, że już sie nie podniosą nigdy… bez jakichkolwiek gwarancji na uszach bym biegał i spod ziemi bym te 15btc wyczarować.
To tylko wyciek danych, jeden z wielu.
A skąd wiadomo, że zapłacenie pieniędzy jakiemuś szantażyście zakończy sprawę? Może stwierdzi po jakimś czasie, że mu mało? Nigdy się nie płaci. Miejsce szantażysty jest w więzieniu, a nie na Bahamach za Twoje pieniądze.
Pisałem już poniżej,ale „wyciek jeden z wielu” – i tak i nie,to są dane o znaczeniu krytycznym dla firmy. Wyciek danych klientów to strata wizerunkowa i możliwe pozwy/problemy z administracją państwową,ale to te dane miały potencjał do UNICESTWIENIA tej firmy w mniej niż 24 godziny (śmiem twierdzić: w mniej niż godzinę).Gdyby morele były prywatną osobą z rozrusznikiem serca czy korzystającym z innego urządzenia medycznego to byłby to równoważnik przejęcia nad nim kontroli.Ci przestępczy lamerzy trzymali firmę za jaja nawet o tym nie wiedząc.
Powiem tak. W jednym z systemów ujawnionych na screenie morele zmieniły hasło 1.5h po opublikowaniu tego artykułu (jestem devem w tej firmie) – profilaktyka? ;)
taaak, a ja twoim kierownikiem.
PS. twoje wypowiedzenie jest do odbioru w HR
Nikt z Was nie poleca 1Pasword… czyżby był jakiś fakap o którym nie wiem i tylko ja korzystam dalej? :)
1Password jest ok pod względem bezpieczeństwa. To że nikt nie poleca to pewnie ze względu na koszty ;) No i w grę wchodzą osobiste preferencje – znam zarówno ludzi, którzy bardzo sobie chwalą 1Password jak i takich, którzy po pewnym czasie od niego odeszli bo coś im nie pasowało.
Adam, ale za niepolecanie Keepassa to masz u mnie minus :C
Polecam, ale do zastosowań korporacyjnych, gdzie jest wielu użytkowników, to niekoniecznie.
@Adam : „Fakt, że przestępcy opublikowali zestaw loginów i haseł może świadczyć o tym, że te informacje nie posiadają już istotnej wartości” – GUZIK PRAWDA ! To,że je opublikowali w wewnętrznym gronie które najpewniej infiltrujesz w darknecie oznacza tylko,że są NIEOGARNIĘCI, ŻE SĄ WRĘCZ LAMERAMI.Oni tymi danymi mogli/mogą ZAORAĆ tą firmę finansowo,zwłaszcza jeśli post który napisał @Pracownik jest autentyczny.Nie napiszę jak bo mogą to czytać – rozwiązanie mogące w kilka minut wygenerować znaczne szkody i koszty jest zbyt trywialne (i zrobi to byle script kiddie) o ile tylko na którykolwiek z tych serwisów można logować się by tor… O ile dostęp do bazy użytkowników nie musiał być wart 15 btc,o tyle dostęp do tego rodzaju danych to kaliber wart pewnie tej kwoty jak nie 2 razy większej. A najgorsze: cholera wie co jeszcze ukradli / ukradną. Morele są chyba na giełdzie,albo ktoś kto ich kapitałowo kontroluje na giełdzie jest. Chcąc nie chcąc – jak nie ty to kto inny opublikuje – skubane kryminaluchy na tym zarobią o ile mieli na tyle oleju w głowie by założyć rachunek maklerski (ale przy odrobinie szczęścia tą drogą mogą też wpaść)
To prawda.
jak na serwis nie można logować się przez Tora, to wystarczy połączyć Tor z polskim socks proxy
Tak to jest jak się oszczędza na personelu, a liczy się tylko zysk,
Wchodzi sobie człowiek na polecanego Dashlane i widzi, że trzeba płacić od razu za cały rok 40 usd. Nie mogli zrobić opłaty miesięcznej..
A ja to mam w dupie, że wyciekło moje hasło, i tak mam na wszystkim 2 stopniową weryfikację, więc mogą mi skoczyć xD