27.12.2018 | 15:06

Adam Haertle

Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów

Nie tylko dane klientów padły łupem włamywaczy, którzy zaatakowali Morele.net. W ręce złodziei trafiły także 242 loginy i hasła dostępowe kont używanych przez Morele.net w innych serwisach. Wygląda na to, że były przechowywane zwyczajnie w bazie danych.

W nasze ręce trafił plik zawierający loginy i hasła do ponad 200 zewnętrznych serwisów, z których korzysta sklep Morele.net w ramach swojej działalności. Plikiem tym złodzieje dzielą się w swoim zaufanym gronie. Jak widać, nie do końca zaufanym.

Czego potrzeba do prowadzenia sklepu

Fragment pliku wygląda następująco:

Polecenie, którego użyto, by wykonać ten eksport danych, to

mysql> select service_name, service_login, service_password from service;
select service_name, service_login, service_password from service;

W bazie znajdziemy pola, których opis wskazuje, że służą między innymi do logowania do takich serwisów jak InPost, Allegro, Amazon, Skąpiec, Ceneo, Opineo, Ecard, Action, ABCData, Paypal, Schenker, Google, Santander, Przelewy24, Veracomp, GetResponse, Ruch czy Poczta Polska. Mamy więc zarówno pośredników płatności, firmy kurierskie, jak i platformy handlowe  i ratalne. W bazie nie brakowało także danych do logowania do wewnętrznych systemów firmy.

Skutki dla klientów

Fakt, że przestępcy opublikowali zestaw loginów i haseł może świadczyć o tym, że te informacje nie posiadają już istotnej wartości. Pozostaje mieć nadzieję, że pracownicy Morele.net natychmiast po wykryciu wycieku zmienili wszystkie hasła, a włamywacze nie mieli już dostępu do bazy, by pobrać nowe. Jeśli jednak przestępcy choć przez chwilę mieli dostęp do kont Morele.net w innych serwisach, to prawdopodobnie mogli również stamtąd wykraść dane.

Choć opublikowany zrzut bazy wygląda, jakby mógł pochodzić z systemów Morele.net, to możliwe także, że w firmie hasła były przechowywane w inny sposób, a bazę sporządzili sami przestępcy. Zadaliśmy kilka pytań Morele.net, by wyjaśnić, skąd pochodziły hasła i czy zostały już zmienione, lecz do momentu publikacji wpisu nie otrzymaliśmy jeszcze odpowiedzi.

Wszystkim Czytelnikom, którzy posiadają duże zbiory haseł w formie baz danych, arkuszy Excela czy plików txt przypominamy przy tej okazji, że istnieją takie narzędzia jak Dashlane czy Keeper.

Aktualizacja 2018-12-27 22:00

Otrzymaliśmy komentarz Morele.net o następującej treści:

W nawiązaniu do Państwa artykułu informujemy, że w bazie danych nie przechowywaliśmy danych mogących służyć do dalszego dostępu do danych osobowych lub krytycznych systemów takich jak płatności czy licencje elektroniczne.

Znajdowały się natomiast wpisy w większości archiwalne (nieaktywne) lub nie mające zastosowania poza wewnętrznymi systemami.
Wszelkie dostępy do naszych systemów są zabezpieczone i są poddawane dalszym audytom i zmianom w zakresie bezpieczeństwa.
Powrót

Komentarze

  • 2018.12.27 15:34 Czytelnik

    A co myślicie o Bitwarden?

    Odpowiedz
    • 2018.12.27 17:39 helmut

      Open source, przejrzysty, działa, używam zamiast lastpassa i jestem zadowolony

      Odpowiedz
      • 2018.12.27 18:00 ax

        a dlaczego nie właśnie lastpass?

        Odpowiedz
        • 2018.12.27 19:20 Czytelnik

          LastPass miał wyciek danych. Dwukrotnie z tego co pamiętam.

          Odpowiedz
        • 2018.12.27 21:49 Artur

          no i LastPass jest closed-source w przeciwieństwie do Bitwarden. W Bitwarden możesz nawet sam hostować swoją bazę danych haseł.

          Odpowiedz
        • 2018.12.27 21:56 Jacek

          Ja przestałem Lastpassowi ufać po bałaganie jaki urządzili z XMarks. Miałem płatne konto premium na XMarks i Lastpassa, ale po którymś z uaktualnień wtyczki bookmarkowanie przestało poprawnie działać. Porady ich „wsparcia” klienta sprawiły że w bookmarkach zrobiła się kompletna sieczka. Wpisy były zduplikowane, kompletnie przemieszane, odtwarzanie z wcześniejszej kopii w bazie nie działało. Zmarnowałem prawie tydzień żeby przywrócić zakładki do używalności (w tym całym bałaganie z duplikatami miałem ponad 12 tyś. wpisów), ale w dalszym ciągu mam kilka tysięcy zakładek w głównym katalogu z którymi muszę coś zrobić. To są głównie duplikaty, ale trzeba je wszystkie poprzeglądać, pokasować, a te które nie są kopiami przenieść do odpowiednich folderów. Jedyną dobrą rzeczą jaką mogę o nich powiedzieć to to, że bezproblemowo zwrócili pieniądze pobrane za konto XMarks premium, które się przedłużyło zanim zdążyłem je skasować.

          Dalej używam LastPassa, ale regularnie robię kopię bazy, i szukam czegoś czym mógłbym go zastąpić. Niestety KeePassa nawet nie udało mi się uruchomić (wywalał się przy próbie dodania konta do bazy), ale Bitwarden wygląda dość ciekawie.

          Odpowiedz
          • 2018.12.27 23:24 Michał

            Spróbuj raindrop.io – wywali Ci duplikaty i 100x lepsze niż gówniane Xmarks.

    • 2018.12.27 18:07 Łukasz

      Używam od dłuższego czasu. Ostatnio zmigrowałem sejf na swój serwer. Szczerze polecam. Świetnie integruje się z przeglądarkami, systemami, telefonami, jest wygodny i szybki.

      Odpowiedz
    • 2018.12.27 19:22 Mr_Ulcer

      Jak z przerzucaniem bazy z keepass-a?

      Odpowiedz
    • 2018.12.27 19:42 Wujek Pawel

      My w firmie uzywamy Teampass.

      Odpowiedz
      • 2018.12.28 02:27 Łukasz

        Jeżeli używacie TeamPass to zróbcie sobie jego audyt bezpieczeństwa.. lub sprawdźcie ilość pull request do repo z poprawkami bezpieczeństwa..

        Odpowiedz
        • 2018.12.28 13:56 Imie

          Nie mamy tego wystawionego na zewnatrz.

          Odpowiedz
          • 2019.01.03 13:20 Łukasz

            Niewystawianie na zewnątrz dalej nie łata luk bezpieczeństwa.. Tylko lekko ogranicza ilość z całego świata do własnych pracowników (którzy często potrafią być bardziej zmotywowani do ataku niż reszta świata) ;-)

    • 2018.12.27 22:37 michu

      KeePass. Tylko i wyłącznie od niepamiętnych czasów.

      Odpowiedz
  • 2018.12.27 17:50 Enryk

    Swoją drogą, ciekawe czy wyciekły też licencje elektroniczne na oprogramowanie (np. klucze aktywacyjne Windowsa) zakupione w Morelach, które normalnie są widoczne w panelu użytkownika po zakupie i nie da się ich stamtąd usunąć…

    Odpowiedz
    • 2018.12.28 14:17 kez87

      Ja bym się spodziewał,że prawdopodobnie MOGŁY. Ale o tym raczej nie dowie się Adam czy ktokolwiek inny,bo te licencje są cokolwiek warte. I jeśli hasła zmieniono dopiero 1,5 godziny po opublikowaniu artykułu to OZNACZAŁO BY TO,ŻE CRACKERZY („HACKERZY” BLACK HAT) MAJĄ NADAL DOSTĘP DO WIELU AKTUALNYCH DANYCH TEJ FIRMY.

      Odpowiedz
  • 2018.12.27 18:37 Pan Bocian

    Co kilka dni okazuje się, że ten wyciek ma coraz większe konsekwencje dla zwykłych użytkowników. Zaczęło się od zwykłego wycieku, a powoli zmierza to w stronę apokalipsy bazo-danowej jak na Polskie warunki. Myślę, że śmiało można ten wyciek nazwać największą wpadką IT w 2018 roku w Polsce.

    Zakupy tam robiłem może z 3-4 lata od początku istnienia sklepu, ale konto usunięte i wracać po czymś takim nie zamierzam.

    Odpowiedz
    • 2018.12.27 21:05 Henry

      Mimo że usunąłeś konto, Twoje dane wyciekły bo Morele ich nie skasowało tylko otagowało. Patrz na portal niebezpiecznik

      Odpowiedz
  • 2018.12.27 19:14 Bartek

    Co sądzicie o Norton Password Manager ? Warto korzystać jeżeli posiada się subskrypcję na antywirusa ?

    Odpowiedz
    • 2018.12.27 21:27 Marek

      Ważne żebyś używał jakiegokolwiek managera haseł, dostawca jest rzeczą drugorzędną, zależną mocno od własnych preferencji. Dlatego odpowiadając na Twoje pytanie – tak, warto. Upewnij się tylko, że będziesz w stanie zmigrować bazę jakbyś w przyszłości zdecydował się zmienić antywirusa/manager haseł.

      Odpowiedz
    • 2018.12.27 22:07 helmut

      Wziąłbym pod uwagę to, czy kiedykolwiek zrezygnuję z tej subskrypcji i czy da się później zmigrować hasła do innej bazy. Do tego lepiej sprawdzić, ile rodzajów systemów i urządzeń jest wspieranych w porównaniu z innymi managerami. Po tej analizie spokojnie zdecydujesz :)

      Odpowiedz
  • 2018.12.27 21:30 Marek

    > Jak widać, nie do końca zaufanym

    Oj będą teraz szukać „konfidenta” ;D

    Odpowiedz
  • 2018.12.27 21:54 JancioWodnik

    Piszecie, że istnieją: Dashlane, Keeper z komentarzy dowiaduję się o: Bitwarden, Lastpass, Teampass a nie widzę aplikacji Keepass – co w niej złego, że nie warto o KeePass wzmiankować ? Są jakieś zagrożenia z jej korzystania – poza faktem, iż wszystko trzyma w jednym pliku.

    Droga ZTS poproszę o artykuł porównujący obecne narzędzia typu password menadżer.

    Dziękuję i pozdrawiam

    Odpowiedz
    • 2018.12.27 22:24 Body

      KeePass jest raczej offline i dlatego nie jest tak popularny i nie ma wtyczki do przeglądarki itp… Jest to bardzo dobry manager haseł ale celuje w inną grupę użytkowników można w nim trzymać hasło do Bitwarden, Lastpass, Teampass :-)

      Odpowiedz
      • 2018.12.27 22:50 Ass

        Bzdury. 1. Ma wtyczki do przeglądarki. 2. Jest również on-line.
        Wiem, bo używam na: android w telefonie, komp domowy, pendrive w pracy

        Odpowiedz
        • 2018.12.28 16:37 Marek

          Są wtyczki, ale nieoficjalne, nie przeszły żadnego audytu. Nie ma gwarancji, że nie ma jakiejś „dziury” na styku KeePass-wtyczka, albo w samej wtyczce.

          Odpowiedz
      • 2018.12.28 00:52 Janusz

        Akurat do keepassa jest wtyczka ChromeIPass, która łączy się z bazą danych keepassa. Korzystam od ponad 2 lat.

        Odpowiedz
    • 2018.12.28 16:45 Marek

      Nie ma nic złego w KeePass, wręcz przeciwnie. Każdy dobiera manager haseł w zależności od modelu zagrożeń, osobistych preferencji i przede wszystkim potrzeb (przykładowo w KeePass trzeba samemu ogarnąć synchronizację pomiędzy urządzeniami, niektórym to przeszkadza). Tak samo nikt tutaj nie wspomniał o 1Password, przypuszczalnie dlatego, że jest płatny.

      Odpowiedz
  • 2018.12.27 22:21 Michal

    Cała ta dyskusja o programie do zarządzania hasłami jest tylko częściowo trafiona. Czy w tym dumpie były tylko konta używane sporadycznie przez pracowników, czy też maszynowe?

    Zarządzanie „credentials” jest trudne.

    Jeśli chodzi o manager haseł to LastPass (mieli wpadkę, to się czegoś nauczyli), 1Password (sensowny mechanizm ochrony danych, który nie wyklucza synchronizacji), ponoć również dashlane.

    Jeśli firma, która produkuje managera, oferuje opcję „odzyskaj hasło” i to wystarczy żeby dostać się do moich haseł, to trzeba szukać dalej. Taki tip pomocny w ocenianiu różnych managerów.

    Odpowiedz
  • 2018.12.27 22:23 Body

    KeePass jest raczej offline i dlatego nie jest tak popularny i nie ma wtyczki do przeglądarki itp… Jest to bardzo dobry manager haseł ale celuje w inną grupę użytkowników można w nim trzymać hasło do Bitwarden, Lastpass, Teampass :-)

    Odpowiedz
    • 2018.12.28 11:23 qerhk

      Bzdura, keepass ma wtyczkę kee do przeglądarek, są aplikacje mobilne i można synchronizować bazę w dowolnej chmurze -dropbox, google, etc. I to wszystko open source więc dziesiątki oczu robi audyt :)

      Odpowiedz
      • 2018.12.28 21:02 Body

        To prawda, że ma wtyczkę do przegladarki ale porównując rozwiązanie Keepass vs LastPass czy Bitwarden lub innych wypada gorzej pod względem funkcjonalności i łatwości obsługi dla laika. Więc bardziej popularne są rozwiazania typu LastPass czy Bitwarden. Ja osobiście używam KeyPassXC do bardzo ważnych haseł właśnie z względu na bezpieczeństwo a do takich zwykłych haseł mam Bitwarden.

        Odpowiedz
  • 2018.12.27 22:24 ikomersiak

    Przerażajace… gdyby ktoś chciał, majac tyle danych jest w stanie zniszczyć morele w 3 dni tak mocno, że już sie nie podniosą nigdy… bez jakichkolwiek gwarancji na uszach bym biegał i spod ziemi bym te 15btc wyczarować.

    Odpowiedz
    • 2018.12.28 09:44 michu

      To tylko wyciek danych, jeden z wielu.

      A skąd wiadomo, że zapłacenie pieniędzy jakiemuś szantażyście zakończy sprawę? Może stwierdzi po jakimś czasie, że mu mało? Nigdy się nie płaci. Miejsce szantażysty jest w więzieniu, a nie na Bahamach za Twoje pieniądze.

      Odpowiedz
      • 2018.12.28 18:46 kez87

        Pisałem już poniżej,ale „wyciek jeden z wielu” – i tak i nie,to są dane o znaczeniu krytycznym dla firmy. Wyciek danych klientów to strata wizerunkowa i możliwe pozwy/problemy z administracją państwową,ale to te dane miały potencjał do UNICESTWIENIA tej firmy w mniej niż 24 godziny (śmiem twierdzić: w mniej niż godzinę).Gdyby morele były prywatną osobą z rozrusznikiem serca czy korzystającym z innego urządzenia medycznego to byłby to równoważnik przejęcia nad nim kontroli.Ci przestępczy lamerzy trzymali firmę za jaja nawet o tym nie wiedząc.

        Odpowiedz
  • 2018.12.28 07:34 Pracownik

    Powiem tak. W jednym z systemów ujawnionych na screenie morele zmieniły hasło 1.5h po opublikowaniu tego artykułu (jestem devem w tej firmie) – profilaktyka? ;)

    Odpowiedz
    • 2018.12.28 16:07 Pan Piotr

      taaak, a ja twoim kierownikiem.

      PS. twoje wypowiedzenie jest do odbioru w HR

      Odpowiedz
  • 2018.12.28 12:16 1szym

    Nikt z Was nie poleca 1Pasword… czyżby był jakiś fakap o którym nie wiem i tylko ja korzystam dalej? :)

    Odpowiedz
    • 2018.12.28 20:10 Marek

      1Password jest ok pod względem bezpieczeństwa. To że nikt nie poleca to pewnie ze względu na koszty ;) No i w grę wchodzą osobiste preferencje – znam zarówno ludzi, którzy bardzo sobie chwalą 1Password jak i takich, którzy po pewnym czasie od niego odeszli bo coś im nie pasowało.

      Odpowiedz
  • 2018.12.28 14:26 co ja k*rde czytam

    Adam, ale za niepolecanie Keepassa to masz u mnie minus :C

    Odpowiedz
    • 2018.12.28 14:51 Adam Haertle

      Polecam, ale do zastosowań korporacyjnych, gdzie jest wielu użytkowników, to niekoniecznie.

      Odpowiedz
  • 2018.12.28 14:36 kez87

    @Adam : „Fakt, że przestępcy opublikowali zestaw loginów i haseł może świadczyć o tym, że te informacje nie posiadają już istotnej wartości” – GUZIK PRAWDA ! To,że je opublikowali w wewnętrznym gronie które najpewniej infiltrujesz w darknecie oznacza tylko,że są NIEOGARNIĘCI, ŻE SĄ WRĘCZ LAMERAMI.Oni tymi danymi mogli/mogą ZAORAĆ tą firmę finansowo,zwłaszcza jeśli post który napisał @Pracownik jest autentyczny.Nie napiszę jak bo mogą to czytać – rozwiązanie mogące w kilka minut wygenerować znaczne szkody i koszty jest zbyt trywialne (i zrobi to byle script kiddie) o ile tylko na którykolwiek z tych serwisów można logować się by tor… O ile dostęp do bazy użytkowników nie musiał być wart 15 btc,o tyle dostęp do tego rodzaju danych to kaliber wart pewnie tej kwoty jak nie 2 razy większej. A najgorsze: cholera wie co jeszcze ukradli / ukradną. Morele są chyba na giełdzie,albo ktoś kto ich kapitałowo kontroluje na giełdzie jest. Chcąc nie chcąc – jak nie ty to kto inny opublikuje – skubane kryminaluchy na tym zarobią o ile mieli na tyle oleju w głowie by założyć rachunek maklerski (ale przy odrobinie szczęścia tą drogą mogą też wpaść)

    Odpowiedz
    • 2018.12.28 15:16 Pracownik

      To prawda.

      Odpowiedz
    • 2018.12.28 19:09 porada

      jak na serwis nie można logować się przez Tora, to wystarczy połączyć Tor z polskim socks proxy

      Odpowiedz
  • 2018.12.28 16:54 Tom

    Tak to jest jak się oszczędza na personelu, a liczy się tylko zysk,

    Odpowiedz
  • 2018.12.28 17:34 xxx

    Wchodzi sobie człowiek na polecanego Dashlane i widzi, że trzeba płacić od razu za cały rok 40 usd. Nie mogli zrobić opłaty miesięcznej..

    Odpowiedz
  • 2019.01.09 18:16 xyz

    A ja to mam w dupie, że wyciekło moje hasło, i tak mam na wszystkim 2 stopniową weryfikację, więc mogą mi skoczyć xD

    Odpowiedz

Zostaw odpowiedź do Ass

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Złodzieje wykradli z Morele.net także hasła dostępowe do innych serwisów

Komentarze