Wyciek danych klientów ze sklepu Morele.net

18 grudnia, 2018

Dzisiaj przed 6 rano dostaliśmy kilka wiadomości od naszych czytelników, którzy pytali, czy rzeczywiście doszło do wycieku danych klientów ze sklepu Morele.net. Odpowiadamy — TAK. Nie wiemy KIEDY doszło do wycieku i czy ta informacja jest powiązana z SMS-ową kampanią spamerską w listopadzie 2018 roku — klienci informowali, że na podany przy zamówieniu numer telefonu otrzymywali wiadomość o rzekomej dopłacie do zamówienia z linkami […]:

https://bitly[.]com/2DT6hKu

https://bitly[.]com/2DAEJbD

https://bitly[.]com/2PNKb29

https://bitly[.]com/2zBfZxl

https://bitly[.]com/2BCJgZL

[..] prowadzącymi do:  

hxxps://platnosci-morele.online/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Założona: 2018-11-22 17:42:31

hxxps://platnosc24.com/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Założona: 2018-11-21 15:44:45

hxxps://p-24.site/morele?tid=...
#Założona 2018-11-23 15:38

hxxps://platnosci-24.com/morele?
#Założona 2018-11-26 16:37:38

hxxps://px24.site/morele...
#Założona 2018-11-27 o 19:49:57

Sklep poinformował klientów o incydencie w dwóch oficjalnych kanałach: przez stronę internetową oraz wiadomość e-mail, która z obowiązku wynikającego z ustawy o ochronie danych osobowych (RODO) jest wysyłana na adresy e-mail osób, których dotyczy wyciek. Jeżeli macie założone konto w sklepie morele.net, ale nie dostaliście maila, nie czekajcie, zmieńcie hasło, używając generatora.

Wyciek danych ze sklepu Morele.net

Jakie podjęliśmy kroki?

Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.

Zawiadomiliśmy o nieuprawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.

Do sklepu wysłaliśmy pytania o dokładną datę wycieku oraz włamania, a także pytanie o zastosowaną funkcję skrótu do hashowania haseł podczas tworzenia nowego konta klienta. Jak tylko dostaniemy odpowiedź, zaktualizujemy artykuł o wypowiedź przedstawiciela Grupy Morele.

Sklep w komunikacie zaznacza, że wyciekły: adresy e-mail, numery telefonów, imienia i nazwiska (jeśli zostały podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).

Nie ma pewności czy przestępcy uzyskali dostęp do CAŁEJ BAZY klientów, czy tylko do części. A jeśli chodzi o informacje o kartach płatniczych, loginach do banków lub innych informacjach handlowych, to Grupa Morele podaje, że nie gromadziła i nie gromadzi takich danych. Nie są one potrzebne do zrealizowania zamówienia — logowanie się do banku przy internetowej płatności lub robienie zakupów z wykorzystaniem karty płatniczej jest realizowane przez system płatności.

Wszystkich klientów Morele.net, niezależnie od tego, czy otrzymali powiadomienie o wycieku na e-mail, prosi się o zmianę hasła.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]