Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów

dodał 27 grudnia 2018 o 15:06 w kategorii Włamania  z tagami:
Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów

Nie tylko dane klientów padły łupem włamywaczy, którzy zaatakowali Morele.net. W ręce złodziei trafiły także 242 loginy i hasła dostępowe kont używanych przez Morele.net w innych serwisach. Wygląda na to, że były przechowywane zwyczajnie w bazie danych.

W nasze ręce trafił plik zawierający loginy i hasła do ponad 200 zewnętrznych serwisów, z których korzysta sklep Morele.net w ramach swojej działalności. Plikiem tym złodzieje dzielą się w swoim zaufanym gronie. Jak widać, nie do końca zaufanym.

Czego potrzeba do prowadzenia sklepu

Fragment pliku wygląda następująco:

Polecenie, którego użyto, by wykonać ten eksport danych, to

W bazie znajdziemy pola, których opis wskazuje, że służą między innymi do logowania do takich serwisów jak InPost, Allegro, Amazon, Skąpiec, Ceneo, Opineo, Ecard, Action, ABCData, Paypal, Schenker, Google, Santander, Przelewy24, Veracomp, GetResponse, Ruch czy Poczta Polska. Mamy więc zarówno pośredników płatności, firmy kurierskie, jak i platformy handlowe  i ratalne. W bazie nie brakowało także danych do logowania do wewnętrznych systemów firmy.

Skutki dla klientów

Fakt, że przestępcy opublikowali zestaw loginów i haseł może świadczyć o tym, że te informacje nie posiadają już istotnej wartości. Pozostaje mieć nadzieję, że pracownicy Morele.net natychmiast po wykryciu wycieku zmienili wszystkie hasła, a włamywacze nie mieli już dostępu do bazy, by pobrać nowe. Jeśli jednak przestępcy choć przez chwilę mieli dostęp do kont Morele.net w innych serwisach, to prawdopodobnie mogli również stamtąd wykraść dane.

Choć opublikowany zrzut bazy wygląda, jakby mógł pochodzić z systemów Morele.net, to możliwe także, że w firmie hasła były przechowywane w inny sposób, a bazę sporządzili sami przestępcy. Zadaliśmy kilka pytań Morele.net, by wyjaśnić, skąd pochodziły hasła i czy zostały już zmienione, lecz do momentu publikacji wpisu nie otrzymaliśmy jeszcze odpowiedzi.

Wszystkim Czytelnikom, którzy posiadają duże zbiory haseł w formie baz danych, arkuszy Excela czy plików txt przypominamy przy tej okazji, że istnieją takie narzędzia jak Dashlane czy Keeper.

Aktualizacja 2018-12-27 22:00

Otrzymaliśmy komentarz Morele.net o następującej treści:

W nawiązaniu do Państwa artykułu informujemy, że w bazie danych nie przechowywaliśmy danych mogących służyć do dalszego dostępu do danych osobowych lub krytycznych systemów takich jak płatności czy licencje elektroniczne.

Znajdowały się natomiast wpisy w większości archiwalne (nieaktywne) lub nie mające zastosowania poza wewnętrznymi systemami.
Wszelkie dostępy do naszych systemów są zabezpieczone i są poddawane dalszym audytom i zmianom w zakresie bezpieczeństwa.