Portal bezpiecznego e-biznesu
Portal bezpiecznego e-biznesu
Kłopotów morele.net ciąg dalszy
Serwis niebezpiecznik.pl donosi, że włamywaczom udało się rozszyfrować 350 tys. haseł użytkowników sklepu morele.net i powiązać je z adresami e-mail. To jedynie część spośród 2-milionowej bazy danej wykradzionej z tego sklepu, lecz liczba ta z pewnością wzrośnie.
Do włamania doszło miesiąc temu. Przestępcom udało się pozyskać dane osobowe użytkowników morele.net w postaci zaszyfrowanych ciągów znaków. Niestety, na tym historia się nie kończy, gdyż część haseł już została rozszyfrowana. Dotyczy to przede wszystkim haseł najprostszych, stosunkowo łatwych do złamania.
Powiązanie złamanego hasła z adresem e-mail konkretnego użytkownika sprawia, że taka kombinacja przestaje być bezpieczna. Nie tylko w sklepie morele.net, ale w każdym innym miejscu w internecie, gdzie użytkownik zdecydował się użyć tego samego adresu e-mail oraz hasła. Sklep zalecił swoim użytkownikom zmianę hasła we wszystkich serwisach.
Jak się okazało, firmie nie udało się skutecznie zresetować haseł użytkowników od razu po tym, jak dowiedziała się o ataku. Zapomniano o skasowaniu aktualnych tokenów sesyjnych, przez co w niektórych przypadkach zmiana hasła była nieskuteczna. Co więcej, przestępcy pozyskali więcej danych niż tylko loginy i hasła dostępu do sklepu. Chodzi o dane dotyczące dowodów tożsamości, numerów PESEL oraz sytuacji finansowej użytkowników kupujących na raty w morele.net.
W związku z powyższym sklep wydał kolejny już komunikat w sprawie. Poniżej wklejamy jego fragment:
Jakie są zagrożenia?
Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości sms lub dostarczania na Twój adres e-mail informacji (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko rozkodowania hasła.
Co należy zrobić?
- zmień hasło do swojego konta Grupy Morele. Ponadto, jeśli takie samo hasło było używane w innych miejscach w Internecie - również rekomendujemy jego zmianę w tych miejscach.
- nie odpowiadaj na wiadomości email i smsy wysyłane przez spamerów. Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.
Jakie podjęliśmy kroki?
Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.
Zawiadomiliśmy o nieuprawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.
Komentarze
Bezpieczne regulaminy sklepów i serwisów internetowych