Dzisiaj przed 6 rano dostaliśmy kilka wiadomości od naszych czytelników, którzy pytali, czy rzeczywiście doszło do wycieku danych klientów ze sklepu Morele.net. Odpowiadamy — TAK. Nie wiemy KIEDY doszło do wycieku i czy ta informacja jest powiązana z SMS-ową kampanią spamerską w listopadzie 2018 roku — klienci informowali, że na podany przy zamówieniu numer telefonu otrzymywali wiadomość o rzekomej dopłacie do zamówienia z linkami […]:
https://bitly[.]com/2DT6hKu https://bitly[.]com/2DAEJbD https://bitly[.]com/2PNKb29 https://bitly[.]com/2zBfZxl https://bitly[.]com/2BCJgZL
[..] prowadzącymi do:
hxxps://platnosci-morele.online/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE #Założona: 2018-11-22 17:42:31 hxxps://platnosc24.com/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE #Założona: 2018-11-21 15:44:45 hxxps://p-24.site/morele?tid=... #Założona 2018-11-23 15:38 hxxps://platnosci-24.com/morele? #Założona 2018-11-26 16:37:38 hxxps://px24.site/morele... #Założona 2018-11-27 o 19:49:57
Sklep poinformował klientów o incydencie w dwóch oficjalnych kanałach: przez stronę internetową oraz wiadomość e-mail, która z obowiązku wynikającego z ustawy o ochronie danych osobowych (RODO) jest wysyłana na adresy e-mail osób, których dotyczy wyciek. Jeżeli macie założone konto w sklepie morele.net, ale nie dostaliście maila, nie czekajcie, zmieńcie hasło, używając generatora.
Jakie podjęliśmy kroki?
Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.
Zawiadomiliśmy o nieuprawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.
Do sklepu wysłaliśmy pytania o dokładną datę wycieku oraz włamania, a także pytanie o zastosowaną funkcję skrótu do hashowania haseł podczas tworzenia nowego konta klienta. Jak tylko dostaniemy odpowiedź, zaktualizujemy artykuł o wypowiedź przedstawiciela Grupy Morele.
Sklep w komunikacie zaznacza, że wyciekły: adresy e-mail, numery telefonów, imienia i nazwiska (jeśli zostały podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).
Nie ma pewności czy przestępcy uzyskali dostęp do CAŁEJ BAZY klientów, czy tylko do części. A jeśli chodzi o informacje o kartach płatniczych, loginach do banków lub innych informacjach handlowych, to Grupa Morele podaje, że nie gromadziła i nie gromadzi takich danych. Nie są one potrzebne do zrealizowania zamówienia — logowanie się do banku przy internetowej płatności lub robienie zakupów z wykorzystaniem karty płatniczej jest realizowane przez system płatności.
Wszystkich klientów Morele.net, niezależnie od tego, czy otrzymali powiadomienie o wycieku na e-mail, prosi się o zmianę hasła.
