Nie takie znów "słodkie" te Morele(net) - ostrzeżenie!
#1
Afera z Morele.net rozkręca się coraz bardziej i chociaż nie była u nas anonsowana wcześniej, to warto przekazać nieco wiadomości (tych nowych również) na ten temat. Całą "aferę"...b to już chyba tak można nazwać...analizuje i opisuje od początku Niebezpiecznik i z ostatniego artykułu tam zamieszczonego poniższe fragmenty

Cytat:miesiąc temu Morele zostało zhackowane, a dane (ponad 2 milionów) klientów zostały wykradzione. Firma współpracując z policją prowadziła rozmowy z włamywaczem, ale po nieskutecznej próbie namierzenia hackera postanowiła poinformować klientów o kradzieży ich danych. Włamywacz w odwecie postanowił zaś opisać nie tylko to, co ukradł, ale i to jak wyglądały negocjacje oraz że — wbrew temu co twierdzi Morele — danych ukradł więcej, bo dostęp miał uzyskać także do danych z dowodów osobistych wykorzystywanych podczas zakupów na raty. Morele po naszych pytaniach w tej sprawie w pierś się uderzyło, przyznało do szerszego zakresu “wycieku” i kilka dni temu wysłało drugi komunikat o kradzieży danych (tylko do tych, którzy zostawili firmie swoje dane na potrzeby zakupów na raty).
(...)
Wiadomo — włamanie i strata danych 2 milionów użytkowników to sprawa niełatwa . O ile firmę należy pochwalić za brak chowania głowy w piasek (i nawet można zrozumieć przeoczenie, że początkowo przeoczono iż wyciek był szerszy, bo objął także dane dotyczące dowodów osobistych), to równocześnie Morele jest słusznie krytykowane przez klientów za to, że nie o razu zresetowało hasła do kont użytkowników.


Cytat:UPDATE: Okazuje się, że jak do wymuszenia resetu haseł już doszło, to …Morele nie skasowało aktualnych tokenów sesyjnych. Wymuszona zmiana hasła była więc całkowicie nieskuteczna, jeśli atakujący już był zalogowany na czyimś koncie. W niektórych przypadkach, to może być bardzo poważny w skutkach błąd.

A dlaczego taki reset w przypadku wycieku danych jest wymagany i to jak najszybciej? Bo hashe haseł się łamie. Prędzej czy później (w zależności od użytego algorytmu hashowania) “odwróci” się każdy z hashy. Morele korzystało z nienajgorszego (ale i nie najlepszego) algorytmu hashowania, ale włamywacz zdradził nam, że “złamał” już ponad 350 000 haseł (a to stan na 20 grudnia…).
(...)
Brak resetu haseł pozwalał atakującemu na:

    1. dostęp do kont ofiar, które hasła miały słabe (bo jak widać, to właśnie słabe hasła są w pierwszej kolejności łamane) i ewentualne uzupełnienie na temat ofiar tych danych, których być może włamywaczowi nie udało się ukraść.

A stosowanie przez klientów Morele tego samego hasła co do Morele także w innym miejscu pozwalało włamywaczowi na:

    2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone konta w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.
(...)
Wszystko więc wskazuje na to, że Morele zamiast dane kasować, po prostu w dość nieudolny sposób “blokują” dostęp do konta, zmieniając użytkownikowi, który chciał skorzystać z praw jakie daje mu Rozporządzenie o Ochronie Danych Osobowych, adres e-mail na “nieprzewidywalny”.

Niestety, taka blokada jak widać jest podwójnie problematyczna. Raz, że w przypadku użytkowników z własną domeną i mechanizmem catch-all pozwala na odzyskanie swojego “skasowanego” konta, a dwa, że w przypadku kradzieży danych, złodziej pozyskuje to, czego pozyskać nie powinien…. Gdyby komuś udało się przewidzieć sposób generowania tego <id> po “USUNIĘTY_”, to byłoby i trzy. Istniałoby bowiem wtedy także ryzyko przejęcia czyjegoś usuniętego konta — zwłaszcza, że do niedawna bardzo łatwo można było komuś konto usunąć — wystarczyło ofierze podsunąć jeden prosty link).
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
A no czytałem to na Niebezpieczniku... typowa kwintesencja... i to że dane skasowane też zostały wykradzione jak by zostały naprawdę skasowanie toby nie wyciekły Tongue

Więc jak kasujesz konto to wiec że nie kasujesz je całkiem tylko dla samego siebie^^
W serwerze to dalej widnieje tylko pod innym adresem nie dostępnym dla szaraków.. Rodo-Srodo
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Podejrzewam, że będą jeszcze jakiś oficjalne konsekwencje...w sensie RODO...to ewidentne naruszenie tych zasad. Zobaczymy Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Ja mam trochę inny na to widok. Po prostu już nie mogę z tego hejtu na morele - typowe polaczki i kopanie leżącego. I jeszcze te pieprzenie o rodo. Przecież morele nie "zapomniało" w ustawieniach w panelu sterowania systemu obsługi sklepu o ustawieniu jakiegoś przycisku "ochroń mnie przed włamaniem hakera". To oni są ofiarą, a ten cały gloryfikowany haker jest bandytą. Ale nieee trza gadać o karach rodo - najlepiej 100 milionów i niech się mają nauczkę, a reszta ma satysfakcję, że im dowalili.
Fakt jest taki, że dane były niedostępne z zewnątrz dla zwykłego śmiertelnika i zostały wykradzione przez złodzieja. Ludzie trochę współczucia i zrozumienia.
Odpowiedz
#5
Nikt nie gloryfikuje tu przestępcy, bo tylko tak można to określić. I dlaczego "polaczki"? O jakim kopaniu leżącego mówisz? Nie rozumiem, skąd Twoje oburzenie i takie opinie?! Spieprzyli sprawę ewidentnie odnośnie kasowania kont i tu chyba nie ma wątpliwości...kasowanie konta oznacza kasowanie czyli usuwanie z bazy użytkownika i jego danych i stąd konsekwencje w kontekście RODO. Jeśli dane zostały "skasowane", to nie powinno ich tam być...a były tylko dziwacznie ukryte.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Ichito wypowiedź była ogólna, odnosząca się raczej do tego co można znaleźć w komentarzach w sieci na temat włamu do morele. Wiadomo, że nie wszystkie to hejt, są takie, które właściwie poruszają kwestie bezpieczeństwa - np. tak jak ten wątek.
Oczywiście nie atakuję Ciebie jako autora wątku i nikogo kto tu napisał. Przepraszam, jeśli Ty lub ktoś tak to odebrał Smile
Odpowiedz
#7
(31.12.2018, 10:38)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

To oni są ofiarą, a ten cały gloryfikowany haker jest bandytą.

Jeśli wierzyć w to co podawał włamywacz na wykopie to są ofiarą samych siebie - serwer wystawiony publicznie, z otwartymi portami, puszczonym na świat phpmyadminem (interfejs webowy pozwalający na obsługiwanie bazy MySQL/MariaDB)... serio? Jeśli tak było, to trudno ich żałować. Włamywacz pozostaje włamywaczem, ale morele w takim wypadku należą się niesamowite cięgi za takie "zadbanie" o bezpieczeństwo danych klientów.
Odpowiedz
#8
Ja nie chcę tylko wrzucać całych tekstów, choć czasem mi się to zdarza z różnych powodów, ale staram się w podobnych przypadkach raczej przefiltrować tekst źródłowy i wyciągnąć z niego jakąś główną myśl albo choć ciekawsze czy przyciągające uwagę fragmenty...nie chcę też tylko linkować do całości bez żadnego komentarza. Zachęcam tym...tak sobie obiecuję...do zajrzenia do tekstu źródłowego i do wyciągania wniosków samodzielnie. Mam nadzieję, że dzięki temu trochę się różnimy od komentarzy na innych podobnych portalach Smile
Zgadzam się z Lukasem...niedbałość jest takim samym uchybieniem, jak wykorzystanie jej skutków i dlatego Morele powinny ponieść konsekwencje, choć to pewnie nie jest przyjemne dla nich jako ofiary kradzieży.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
nie zgadzam sie z wypowiedzią @Buli... Firma nie dokonała nawet najmniejszych kroków by zadbać o bezpieczeństwo danych ani stosować się do przepisów panujących nawet przed RODO. To że ktoś sie włamie czy też nie, nie usprawiedliwia braku zastosowania / wdrażania środków ochronnych bazy danych firmy/klientów... narażając nas/klientów na kolejne ataki w przyszłości.
===========================================================================

Serwer z całą obsada wyglądaj tak jak: Mam kuzyna co on tam kiedyś chodził do liceum i miał informatykę on nam serwer w Morele postawi.. No i potem jest serwer jaki jest robiony za pomocą Tutków z google... przez Janusza...

Równie dobrze można mieć domyślne hasło admin/admin1 i mieć żal że w sklepie ktoś podpina mi sie pod sieć....

Tego bardziej sp****** się nie dało widać że to czysta amatorka i każdy newb który by zaczynał przygodę z hackingiem by obrabiał takie serwery po 5 min pierwszej przygody...

Ja sam kupowałem sporo rzeczy w morele bo mieli bardzo dobre ceny przynajmniej wtedy. Nie chce sie chwalić ale z 20 tysi u nich zostawiłem na elektronikę i dla parę mniejszych firemek gdzie po znajomości montowałem mniejsze/większe sprzęty pod wymóg danych osób za prośbą.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#10
Przecież morele to dziady, kombinowali jak chcieli z cenami, wysyłali ludziom sprzęty z cudzych zwrotów bez informacji że sprzedają zwroty. Kiedyś to musiało rypnąć. Nie mówię że sprzedawanie zwrotów jest złe, ale trzeba ludzi o tym uprzedzić.

Ważne to, żeby osoby odpowiedzialne za taki stan rzeczy poniosły odpowiedzialność. Włamywacz powinien otrzymać swoją karę, właściciele firmy swoją. Firma nie może robić scen, jakoby była niewinna tylko zły haker ich skrzywdził.

(31.12.2018, 12:49)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Serwer z całą obsada wyglądaj tak jak: Mam kuzyna co on tam kiedyś chodził do liceum i miał informatykę on nam serwer w Morele postawi.. No i potem jest serwer jaki jest robiony za pomocą Tutków z google... przez Janusza...
Skoro wiedziałeś że tak źle to wyglądało, to dlaczego ryzykowałeś swoją renomą i kupowałeś u amatorów... Craze
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#11
Mnie najbardziej bulwersuje to niekasowanie danych osobowych. Mam nadzieję, że za to odpowiedzą, by inne firmy zniechęcić do takiego postępowania.
Odpowiedz
#12
Właściwie to nie wiedziałem( perspektywy technicznej) od strony sklepu to mieli dobrą opinie jak i ceny, ale nie wiedziałem co u nich na zapleczu sie odwala Tongue

Pare rarzy sprzęt lądował na gwarancji i wszystko było od ręki załatwiane bez najmniejszych komplikacji. Aleto wszystko też było dobre pare lat temu nie wiem na ile źle sytuacja od tego czasu w sklepie sie zmieniła.

Od pewnego czasu w sumie bardziej w Agito(emag) kupowałem bo akurat te cześć mieli w tym sklepie co mnie interesowały Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#13
A mnie zastanawia co innego - jakie zabezpieczenia ma cała konkurencja?

Bo w sumie w takich przypadkach klient, czyli my, nie ma możliwości sprawdzenia zabezpieczeń sklepu, dopóki nie rypnie. No, ale miało być najtaniej Smile
Mam wrażenie, że w morelach było to, co widzę na co dzień - czyli menedżerka gnająca z sukcesami i zyskami, a każde prawie-działające rozwiązanie to rozwiązanie ostateczne, bo rzeczy na teraz jest tyle, że nikt nie ma czasu popatrzeć wstecz i poukładać. Zabezpieczenia i konserwacja to koszta, a one nam psują 60% zysku w kwartale na wykresach, więc lepiej nie mówić Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#14
(31.12.2018, 19:48)M'cin napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

A mnie zastanawia co innego - jakie zabezpieczenia ma cała konkurencja?

Avast free + zapora Windowsowa Grin
Odpowiedz
#15
(31.12.2018, 12:49)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

nie zgadzam sie z wypowiedzią @Buli... Firma nie dokonała nawet najmniejszych kroków by zadbać o bezpieczeństwo danych ani stosować się do przepisów panujących nawet przed RODO. To że ktoś sie włamie czy też nie, nie usprawiedliwia braku zastosowania / wdrażania środków ochronnych bazy danych firmy/klientów... narażając nas/klientów na kolejne ataki w przyszłości.
===========================================================================

Serwer z całą obsada wyglądaj tak jak: Mam kuzyna co on tam kiedyś chodził do liceum i miał informatykę on nam serwer w Morele postawi.. No i potem jest serwer jaki jest robiony za pomocą Tutków z google... przez Janusza...

Równie dobrze można mieć domyślne hasło admin/admin1 i mieć żal że w sklepie ktoś podpina mi sie pod sieć....

Tego bardziej sp****** się nie dało widać że to czysta amatorka i każdy newb który by zaczynał przygodę z hackingiem by obrabiał takie serwery po 5 min pierwszej przygody...

Ja sam kupowałem sporo rzeczy w morele bo mieli bardzo dobre ceny przynajmniej wtedy. Nie chce sie chwalić ale z 20 tysi u nich zostawiłem na elektronikę i dla parę mniejszych firemek gdzie po znajomości montowałem mniejsze/większe sprzęty pod wymóg danych osób za prośbą.

Stary ale bzdury wypisujesz, gość który rozpoczyna przygodę z hackingiem nie znalazł by otwartego portu, gość miał farta i trafił na lukę w postaci wystawionego portu na świat. Potem zastał tam php my admina, google reset hasła i lecimy z tematem. Dump bazy i wysyłał maile z protona do morele, że ma ich baze i chce 250k?
Admin ogólnie do zwolenianie za wystawienie produkcyjnego serwera na świat w taki sposób plus nie połapanie się że dziwny IP się łaczy z ich bazą Grin.

A i co to 20 tysięcy w IT? Komputer z Windowsem i Officem to 4,5 brutto ...
Odpowiedz
#16
Kurde @smq nie bede się wdawał w kłótnie ale z 2 strony szczerze nie pamiętam co kupowałem/pomagałem przy zakupie dobre parę lat temu .a te przysłowiowe 20 tysi to wydałem u nich, ale to nie za jednym zamachem i dla siebie(własne potrzeby). A jak tak chcesz wiedzieć to w morele to nie tylko komputery można kupić skanery i inne urządzenia i nie tylko w ilości 1 sztuka.

Co do faktury to nie mogę sie teraz zalogować do tego sklepu, ale mogę ci pokazać z innego gdzie również mam dość syty(nieco nowszy - kolejny zakup w agito:

[Aby zobaczyć linki, zarejestruj się tutaj]

15 tysi i jeszcze z kolejne 7 w innym sklepie bodajże proline bo nie mieli wszystkiego co chciałem we wcześniejszym. M.in zasilacz Seasonic 860W platinum (koszt okolo 700-800 zł nie pamiętam dokładnie ofc od 1 sztuki)
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#17
Nie ma co się kłócić o takie pierdoły Smile, ja akurat przeważnie kupuje na morele bo jest najtaniej i tyle, choć ostatnio unikam ich bo coraz dłuższy czas dostawy maja.
Odpowiedz
#18
no ja tak samo w sumie to nawet nie specjalnie po prostu nie mieli towaru który mnie interesował Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#19
@smq Do znalezienia obiecujących serwerów wystarczy Shodan. Obecnia cała pula adresów IPv4 jest skanowana cały czas przez przeróżne firmy, instytucje, organizacje kryminalne. Mój laptop ma uptime niecałe 3 godziny, żadnych usług wystawionych na świat, nie korzystałem z p2p, a statystyki z iptables pokazują już ponad 300 pakietów próbujących zainicjować połączenia TCP i to nic nadzwyczajnego:
Niestety jakieś błędy z forum i nie mogę dodać z linii poleceń co wypisuje iptables...
Odpowiedz
#20
Akurat dziś z ciekawości sprawdzałem morele na shodanie na szybkości i na "bazowym" ip strony nic ciekawego już nie mają otwartego Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości