17

Baza użytkowników Morele.net w rękach cyberprzestępców. Szantaż się nie udał

6 godzin temu w serwisie Wykop pojawił się wpis niejakiego xArma, który postanowił podzielić się swoją historią na temat Morele.net. Nie trzeba być geniuszem, aby zauważyć, że ten człowiek zajmuje się cyberbezpieczeństwem "od tej drugiej strony" i udało mu się znaleźć otwarty serwer należący do Morele.net. Niedopatrzenia usługodawcy spowodowały, że udało mu się wyciągnąć bazę użytkowników.

Według wersji historii przekazanej przez obecnego posiadacza bazy Morele.net, ten zgłosił się do usługodawcy celem powiadomienia go o incydencie. Co ciekawe, o wycieku było wiadomo już kilka dni wcześniej – wtedy natomiast Morele.net uparcie zaprzeczało wszelkim doniesieniom. Jako dowód, osoba, która weszła w posiadanie danych przekazała zespołowi układ kolumn w bazie. W materiale można było znaleźć takie dane jak numery PESEL, loginy, zaszyfrowane hasła, „parę tysięcy zeskanowanych dowodów osobistych, zazwyczaj były to dwie strony”.

Warto dodać, że według informacji posiadacza bazy, parę dni wcześniej (jak to ujął sam zainteresowani „JACYŚ LUDZIE”) nieznani sprawcy konstruowali akcje phishingowe z użyciem spreparowanej bramki DotPay, sugerując istnienie innych grup, które weszły w posiadanie informacji z Morele.net. Mimo wszystko, sposób przekazania informacji na ten temat wydaje się sugerować, że to właśnie autor (xArt) odpowiada za te kampanie (lub jego grupa?). Tego oczywiście nie da się ustalić.

Negocjacje posiadacza bazy z Morele.net to farsa jakich mało

Przypomnijmy, Morele.net od paru dni zaprzeczało jakimkolwiek sygnałom o wycieku bazy danych użytkowników. W przypadku tak bardzo jednoznacznego bezpieczeństwa infrastruktury nie jest to najlepsza możliwa opcja: mleko się rozlało, warto wziąć odpowiedzialność za to, co się stało. A pewne jest to, że sam usługodawca nie zrobił dosłownie wszystkiego, aby do tego nie doszło.

Postawa Morele.net (która zmieniła się w trakcie rozwoju sytuacji) doprowadziła do kuriozalnych sytuacji w trakcie rozmów z posiadaczem bazy: ten, korzystając z ProtonMaila odezwał się do pracowników usługodawcy dostarczając dowody na to, że rzeczywiście znajduje się w posiadaniu materiału. W toku rozmów wstępnie ustalono, że autor ataku za „zachowanie milczenia” oraz pomoc w załataniu dziur życzy sobie 15 BTC. Jednak, gdy ktoś w pionie IT wpadł na genialny pomysł zaszycia kodu śledzącego w wiadomości, cena wzrosła do 20 BTC. Podobnie jak i autora ataku, rozbawiło mnie to: w ProtonMail? Serio? :)

I co gorsza, wiele wskazywało na to, że Morele.net dobije takiego targu. Co więcej, korespondencja wskazuje na to, że miało się to odbyć bez wiedzy prezesa / zarządu, z uwzględnieniem kombinacji po stronie księgowości. Sam pomysł z BTC został zastąpiony innym (przelew bez dokumentów), ale w dalszym ciągu – choćby taka próba negocjowania z autorek ataku jest dowodem na to, że ktoś zachował się niesamowicie nieodpowiedzialnie.

Ostatecznie do sprawy włączył się sam CEO Morele.net, który po pierwsze – wyraził zaangażowanie w sprawę i stwierdził, że jeżeli posiadacz bazy udowodni, że wyciek nie nastąpił w wyniku działań kogoś w wewnątrz, zaproponuje mu znacznie lepszą propozycję. Co więcej, autorowi cyberataku zaproponowano pracę. Powiem tak – gdyby to na mnie padło (a nie padnie, nie umiem robić takich rzeczy, sorry) – najpewniej bym się nie zgodził. Przyjęcie propozycji pracy po operacjach, które narażają człowieka na niemałą odpowiedzialność karną siedziałbym w piwnicy i dbał o to, by nikt się nie dowiedział kim jestem.

Autor ataku nie był jednak zadowolony z takiego obrotu spraw – żądał pieniędzy za milczenie, a tymczasem otrzymał coś zupełnie innego. Nie spełniono jego oczekiwań – przekazał sprawę mediom zajmującym się cyberbezpieczeństwem. O sprawie wie już Niebezpiecznik i Zaufana Trzecia Strona – tutaj już pojawił się stosowny artykuł, w którym oberwało się odrobinę Morele.net i… samemu xArmowi. Medium otwarcie nazwało autora ataku „złodziejem”, podobnie jak i całą grupę (o ile istnieje jakaś grupa?).

Pewne jest jedno: Morele.net poszło po rozum do głowy i pewnie już idąc za decyzją samego CEO, postanowiło nie oferować autorowi ataku pieniędzy za milczenie. Nie istnieje przecież idąca za tym gwarancja utrzymania tajemnicy, prawda? Idąc dalej, postanowiono o tym, że należy poinformować klientów o wycieku – odbyło się to stanowczo późno, ale jednocześnie udało się zabrać posiadaczowi bazy ważny argument w negocjacjach. Po tym negocjacje się urwały i… Morele.net zyskało przynajmniej częściowe rozwiązanie problemu, natomiast autor ataku… nic nie uzyskał. Odrobina rozgłosu to mimo wszystko nie to, czego oczekiwał.

Drogi Kliencie,
doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.
Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).
Jakie są zagrożenia?
Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości sms lub dostarczania na Twój adres e-mail informacji (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko rozkodowania hasła.
Co należy zrobić?
● zmień hasło do swojego konta Grupy Morele. Ponadto, jeśli takie samo hasło było używane w innych miejscach w Internecie – również rekomendujemy jego zmianę w tych miejscach.
● nie odpowiadaj na wiadomości email i smsy wysyłane przez spamerów. Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.
Jakie podjęliśmy kroki?
Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.
Zawiadomiliśmy o nieuprawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.
Przykro nam, że nasza znajomość, przyjaźń, a może i długoletni związek zostały wystawione na taką próbę. Ta kwestia jest dla nas absolutnym priorytetem i dużym wyzwaniem dlatego zapewniamy o pełnym zaangażowaniu całego zespołu w wyjaśnienie sytuacji i wprowadzeniu działań zapobiegawczych.
Zawsze jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami pocztą elektroniczną na adres informacja@morele.net.

I rzeczywiście, z faktem wycieku nie da się już nic zrobić – jeżeli możecie, pozmieniajcie hasła do Morele.net, a także do usług, w których używacie dokładnie takiego samego ciągu uwierzytelniającego. Co więcej, jeżeli udostępnialiście kiedykolwiek Morele.net dowód osobisty – ja bym go na Waszym miejscu zastrzegł, dla świętego spokoju. Autor ataku utrzymuje, że ma dostęp do zeskanowanych dokumentów użytkowników – to zawsze ogromne ryzyko.