Nie milką echa wycieku danych klientów sklepu Morele Haker, który twierdzi, że jest w posiadaniu 2,2 mln rekordów, porozmawiał z dziennikarzem serwisu Zaufana Trzecia Strona i udowodnił, że rzeczywiście ma dane. Wychodzą ten nowe sprawy, o których wcześniej nie wiedzieliśmy.
Historia zaczęła się 21 listopada, kiedy to klienci sklepu Morele zaczęli otrzymywać podejrzane SMS-y z prośbą o dopłacenie 1 zł do złożonego zamówienia. Umieszczony w wiadomości link prowadził do spreparowanej strony Dotpay, dzięki której atakujący zyskiwali dane dostępowe do kont bankowych nieświadomych użytkowników. Kilka dni później Morele zapewnia, że to nie oni są źródłem wycieku. Niemal miesiąc później – 18 grudnia, sklep potwierdza, że wyciekła ich baza klientów. Z czasem dowiadujemy się, że w jej posiadaniu jest Polak, który ukrywa się pod pseudonimem xArm.
Przedwczoraj – 19 grudnia – odezwał się on do Adama Haertle, dziennikarza serwisu Zaufana Trzecia Strona. Panowie rozmawiali ze sobą kilka godzin, w trakcie których haker udowodnił, że jest w posiadaniu bazy klientów Morele. W jaki sposób? Między innymi pokazał dziennikarzowi jego własny rekord, w którym zgadzała się data założenia konta, numer telefonu, a także adres e-mail. Czego jeszcze się dowiadujemy? xArm utrzymuje, że nadal ma dostęp do serwera. Miał na niego trafić przez przypadek. Zauważył że nie ma on zabezpieczonych portów i ma otwarty phpMyAdmin. Okazało się, że to serwer Morele, a na nim znajduje się baza 2,2 mln klientów.
Poza tym haker twierdzi, że udało mu się złamać już kilkaset tysięcy haseł. Idzie to powolnie, ponieważ sklep wykorzystał funkcję MD5Crypt, która jest dużo bezpieczniejsza od zwykłego MD5. Jednocześnie zauważył, że jeśli mail użytkownika zaczyna się od prefixu „allegro” (a takich jest podobno sporo), to hasze wyglądają jak zwykłe MD5. Oprócz tego xArm – jak sam twierdzi (ciężko to zweryfikować) – w dniu 28 listopada skontaktował się z Morele i zażądał okupu w wysokości 15 BTC. Z czasem podniósł cenę do 20 BTC, ponieważ sklep próbował zaszyć w jednej z wiadomości zwrotnych kod śledzący. Morele miały też grać na zwłokę i zaproponować mu zatrudnienie.
Morele.net przesłało Z3S oświadczenie w tej sprawie:
Szanowni Państwo,
W nawiązaniu do Państwa pytań i artykułu, pragniemy poinformować o zakresie podjętych przez nas działań w związku z zaistnieniem nieuprawnionego dostępu do naszej bazy danych. Około 21 listopada zaczęliśmy otrzymywać informacje o fałszywych SMSach powiązanych z zamówieniami na Morele.net. 23 listopada o tym fakcie poinformowaliśmy Policję oraz rozpoczęliśmy audyt i analizę naszych systemów zabezpieczeń. O tym procesie poinformowany został także Prezes UODO.
Wszelkie późniejsze działania były koordynowane z funkcjonariuszami Policji zajmującymi się cyberprzestępczością. Celem działań operacyjnych, w świetle braku potwierdzonych informacji dotyczących wykorzystania bazy, było przedłużanie korespondencji z osobą twierdzącą, że taki dostęp posiada i oraz ustalenie jak największej liczby informacji, które mogłyby pomóc w zidentyfikowaniu sprawców odpowiedzialnych za nieuprawniony dostęp. Korespondencja była konsultowana z funkcjonariuszami Policji prowadzącymi śledztwo w tej sprawie. Wobec wyczerpania się powyższych możliwości, postanowiliśmy poinformować wszystkich Klientów o zdarzeniu.
Wyciągamy wnioski z tego zdarzenia, które pozwolą nam na stałe podnoszenie poziomów bezpieczeństwa. Na chwilę obecną zmieniliśmy m.in. sposoby zabezpieczeń haseł użytkowników oraz zabezpieczania dostępu do systemów. To początek procesu, dzięki któremu będziemy mogli minimalizować ryzyka podobnych zdarzeń w przyszłości
Z wyrazami szacunku,
Radosław Stasiak, dyrektor działu IT
Wojciech Pawlik, dyrektor marketingu