8:52
15/11/2017

Błędy w serwisach internetowych to chleb powszedni. Zazwyczaj wykradane bazy danych są wykorzystywane do poznania haseł użytkowników i później do włamań na ich konta w innych, ważniejszych serwisach, jeśli nieroztropnie ustawili tam takie samo hasło jak w serwisie z którego wykradziono bazę. Ale zdarzają się też sytuacje, w których wykradziona baza danych dostarcza przestępcom informacji pozwalających na szantażowanie klientów danego sklepu…

W ostatnich dniach kilku naszych czytelników poinformowało nas, że otrzymali oni taką wiadomość:

Dzien dobry. Kontakt do klientow dostalismy od serwisu savicki.pl
Przesledziliśmy wasze konta facebook jak i dane dostępne w internecie. Wiekszosc przedmiotow to kolczyki, pierscionki zareczynowe lub inne rzeczy które nie zawsze maja trafic do zony a np kochanki. Rowniez pierscionki zareczynowe to efekt zaskoczenia. My ten efekt zepsujemy jesli nam nie zaplacicie.

Mamy pelne informacje zamowienia, godzine,date,email, numer telefonu, adres. Te dane pomogly nam zebrac informacje które umozliwia poinformowanie bliskich osob.
Jesli nie chcesz zeby ktos z rodziny dowiedzial sie o zakupie przeslij nam 1/5 wartosci przedmiotu na ponizszy adres bitcoin.
Jesli nie wiesz jak zdobyc bitcoiny to mozemy Wam wyslac szczegolowa instrukcje.

Adres bitcoin.
1LHk9KGnNMuBj3YfZ8Wx1SpDQYzjn2rpVN

Jesli zaplaciles, odpisz na tego maila i nas poinformuj a wykreslimy Cie z listy. Za 5 dni bedziemy informowac osoby ktore uwazamy za potencjalnie zainteresowane.
W celach informacyjnych prosimy o kontakt na numer podany na savicki.pl

Podsumowując ten nieskładny styl wypowiedzi, ktoś twierdzi, że pozyskał bazę klientów sklepu jubilerskiego savicki.pl, a baza ta ma zwierać:

  • dane osobowe zamawiającego (e-mail, nr telefonu, adres)
  • informacje o przedmiocie zamówienia

Szantażysta twierdzi, że przejrzał zamówienia i zauważył, że (co za niespodzianka!) większość klientów kupuje u jubilera biżuterię, w tym pierścionki zaręczynowe, które (jak można się domyślić) mają niebawem zostać wręczone, a zaręczyny to przecież zawsze element zaskoczenia.

No więc szantażysta wpadł na pomysł, że ten element zaskoczenia popsuje, informując zawczasu wybranki serca niezamężnych klientów sklepu savicki.pl (lub żony w przypadku niewiernych mężów), że wie o zakupach. Skąd szantażysta ma dane kobiet, które mają być obdarowane przez użytkowników sklepu? Z przejrzenia Facebooka i mediów społecznościowych…

Zakładamy, że o ile w większości przypadków szantażyście nie uda się poprawnie ustalić danych kochanki, to żonę może łatwo namierzyć. I niewierny mąż, jeśli taki w istocie był klientem jubilera, będzie musiał się gęsto tłumaczyć. A dla kogo był ten wisior, o którym żonę wisiora nieposiadającą poinformował szantażysta?

Z ustaleniem drugiej grupy kobiet, niedoszłych jeszcze narzeczonych, też nie powinien mieć problemu. Ludzie chwalą się na FB, że są ze sobą w związku albo wrzucają słitfocie i sie tagują… Więc… Panowie, jedyne rozwiązanie aby nie płacić okupu, to przyśpieszyć oświadczyny ;)

Kiepski to pomysł na szantaż, bo…

Jeśli przyjrzymy się adresowi BTC na który mają wpływać okupy, to na razie, jak widać, żaden z klientów nie uległ szantażowi (z zebranych przez nas informacji od czytelników, każdy z nich otrzymał ten sam adres portfela BTC)

Jeden z naszych czytelników odezwał się do szantażysty i ten okazał się kłamczuszkiem, bo tak odpisał czytelnikowi:

Co na to sklep savicki.pl

Pierwszą informację od czytelnika w sprawie szantażu otrzymaliśmy 8 listopada 2017 roku. Żona innego z naszych czytelników dzwoniła do sklepu zaraz po otrzymaniu wiadomości od szantażysty i:

(…) otrzymała informację, że mieli włamanie do systemu
Informatycznego i że została im ukradziona baza klientów.

Z kolei kolejny z naszych czytelników otrzymał poniższą wiadomość od jubilera w dniu 12 listopada 2017, parę minut po północy (nie wiemy czy otrzymali ją wszyscy klienci, czy tylko ci, którzy kontaktowali się ze sklepem):

Szanowni Państwo,

w SAVICKI dyskrecja naszych klientów zawsze była i jest dla nas priorytetem. Równie istotne jest dla nas Państwa bezpieczeństwo i swoboda zakupów, m.in. dlatego nasi konsultanci są dostępni od wczesnych godzin porannych do późnych godzin wieczornych przez 7 dni w tygodniu, 365 dni w roku.

Niestety nie wszystkim podoba się to, w jaki sposób staramy się rozwijać. W ostatnich dniach dokonano naruszenia bezpieczeństwa serwisu savicki.pl, czego skutkiem był nieuprawniony dostęp do danych powiązanych z formularzem osobowym wypełnianym w trakcie realizacji zamówienia. Zapewniamy również, że żadne dane dotyczące płatności np. numery kart kredytowych czy rachunków bankowych nie zostały naruszone, ponieważ nie są przetwarzane w naszym serwisie.

Pragniemy również zaznaczyć, że sytuacja została ustabilizowana. Nasi eksperci niezwłocznie dokonali analizy przeprowadzonego ataku i podjęte działania skutecznie zablokowały dostęp osobom trzecim do bazy serwisu SAVICKI.pl. Wprowadziliśmy również zaostrzone procedury bezpieczeństwa, dzięki którym podobna sytuacja nie wystąpi w przyszłości.

Jak postępować?

Zdajemy sobie sprawę, że część naszych klientów otrzymała wiadomości e-mail lub sms z próbą szantażu. Osoba, która fałszywie podaje się za pracownika firmy SAVICKI wysyła wiadomości z nieautoryzowanych skrzynek e-mail (np. o2.pl) z próbą wyłudzenia pieniędzy. Informujemy, że ani firma SAVICKI ani żaden jej pracownik nie kontaktuje się z klientami za pośrednictwem innych skrzynek e-mail niż oficjalne w domenie savicki.pl. Prosimy o niereagowanie na tego typu wiadomości i w żadnym przypadku nieuleganie próbom szantażu. Bardzo prosimy o nieprzekazywanie niniejszej wiadomości osobom trzecim oraz informowanie nas o każdym takim przypadku, ponieważ toczy się już postępowanie karne w sprawie naruszenia bezpieczeństwa naszego serwisu oraz szantażu z próbą wyłudzenia.

Prosimy w miarę możliwości o zapisywanie wiadomości, które wydają się Państwu podejrzane lub są próbą wyłudzenia i przesyłanie ich jako załącznika na adres bezpieczenstwo@savicki.pl. Pliki te pomogą w szybszym ustaleniu osoby odpowiedzialnej za próbę wyłudzenia.

Wszystkie hasła użyte do rejestracji kont w serwisie SAVICKI.pl są hashowane za pomocą algorytmu SHA 256. Hasła są również chronione dodatkowym ciągiem znaków. Osoby, które uzyskały nieautoryzowany dostęp do danych na stroniesavicki.pl nie mają możliwości uzyskania dostępu do samych haseł. Jednak w ramach ostrożności, jeżeli korzystacie Państwo z takiego samego hasła w innych serwisach to zalecamy ich zmianę na inne.

W razie jakichkolwiek pytań jesteśmy do Państwa dyspozycji codziennie od 8:00 do 24:00 na Live Chatcie, Infolinii oraz pod adresem bezpieczenstwo@savicki.pl. Nasz specjalnie powołany zespół służy Państwu wszelką pomocą i wyjaśni niepokojące Państwa kwestie.

Szerząc ideę „Share your love” – dziękujemy za obdarzenie nas swoim zaufaniem oraz możliwość wspólnej celebracji najpiękniejszych chwil w Państwa życiu.

Z wyrazami szacunku,
Prezes Zarządu
Sławomir Sawicki

Oświadczenie jest bardzo sensownie napisane. Firma nie chowa głowy w piasek i za to należy się jej pochwała. Jedyna potknięcie to zdanie o hasłach. Jak informuje sklep “nie ma możliwości uzyskania dostępu do samych haseł”. Nie jest to prawda, bo wiemy przecież, że do haseł można dotrzeć “łamiąc hashe”, choć w przypadku trudniejszych haseł jest to rzeczywiście dłuższy proces. Ale to potknięcie nie ma znaczenia, bo z pozyskanych przez nas informacji (patrz oświadczenie firmy niżej) wynika, że atakujący do haseł dostępu nie uzyskał.

O ile pełną bazę z hasłami pozyskuje się z reguły w ramach ataku SQL injection, to zebranie danych klientów i listy ich zamówień mogło się odbyć tak jak w przypadku dziury w Millenium — ktoś po prostu zbierał dane klientów enumerując jakiś link prowadzący do przesyłanych na e-maile klientów potwierdzeń zamówień.

Aby ustalić dodatkowe okoliczności zdarzenia, przesłaliśmy pytania do sklepu i błyskawicznie otrzymaliśmy następującą odpowiedź, z której wynika, że szantaż klientów nie jest pierwszym działaniem szantażysty. Najpierw chciał zaszantażować firmę.

Oto nasze pytania:

1. Czy potwierdzają Państwo, że ktoś wykradł Państwa bazę danych?
2. Jeśli tak, kiedy miał miejsce incydent i do jakich informacji dostęp uzyskał włamywacz?
3. Jak dowiedzieliście się Państwo o włamaniu? Czy Sklep był szantażowany (np. że włamywacz nie ujawni faktu posiadania bazy, jeśli zapłacicie Państwo okup?)
4. Co było powodem włamania? Jakiego typu błąd na stronie i czy dziura została już załatana?
5. Czy powiadomiliście Państwo klientów o tym, że ktoś pozyskał ich dane osobowe w wyniku tego włamania?
6. Co radzicie Państwo swoim klientom, którzy otrzymali od szantażysty prośbę o wpłacenie okupu?

A to odpowiedź jubilera:

W nocy z 31 października na 1 listopada br. doszło do incydentu z zakresu bezpieczeństwa danych naszego serwisu. Incydent dotyczył wyłącznie danych dotyczących produktów oraz danych teleadresowych użytkowników sklepu. Sprawca nie uzyskał dostępu do żadnych danych związanych z płatnościami naszych klientów a sprawa została zgłoszona organom ściągania w dniu wykrycia włamania i w tej chwili prowadzone jest bardzo intensywne śledztwo.

Incydent został rozpoznany tuż po wykryciu włamania. Ze względu na intensywnie prowadzone śledztwo nie możemy ujawnić w tej chwili więcej informacji. Niezwłocznie dokonaliśmy analizy przeprowadzonego ataku i podjęliśmy działania, które skutecznie zablokowały dostęp osobom trzecim do systemu naszego serwisu. Wprowadziliśmy również zaostrzone procedury bezpieczeństwa dla naszych pracowników. Nasze dotychczasowe zabezpieczenia odpowiadały potencjalnym zagrożeniom i skali naszej działalności. Bezpośrednio po incydencie nasze systemy bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym zostały znacznie wzmocnione a wszelkie dane naszych bieżących klientów są bezpieczne.

Cyberprzestępca próbował się z nami skontaktować kilka dni po włamaniu, szantażując nas znaczną kwotą płatną w kryptowalutach. Bezpieczeństwo naszych klientów i reputacja marki stanowią dla nas najwyższy priorytet, dlatego też nie prowadzimy żadnych negocjacji z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko nam i naszym klientom.

Żaden z naszych zweryfikowanych klientów nie poniósł jakiegokolwiek uszczerbku w zakresie wspomnianego incydentu. Od pierwszego dnia zapewniamy klientom bieżące wsparcie w tej sprawie oraz odnotowujemy wraz ze śledczymi każdy przypadek szantażu. Zakres naruszonych danych nie zagraża bezpieczeństwu naszych klientów. W zakresie przedmiotowej sprawy powołaliśmy również specjalny zespół dla naszych klientów dostępny do późnych godzin wieczornych pod adresem bezpieczenstwo@savicki.pl.

Ponadto każdą sytuację rozpatrujemy indywidualnie i zapewniamy, że nie odnotowaliśmy do tej pory żadnych potwierdzonych przesłanek w zakresie rzekomego kontaktowania się z osobami trzecimi o fakcie zakupów. Zapewniamy również naszym klientom bezpłatną pomoc prawną w uzasadnionych przypadkach.

Nasza infolinia oraz Live Chat są dostępne 7 dni w tygodniu przez cały rok w godzinach od 8:00 do 24:00. Nasi konsultanci służą wszelką pomocą i wyjaśniają klientom niepokojące kwestie.

Z poważaniem,
Sławomir Sawicki
Prezes Zarządu

Dodatkowo, firma zapewniła, że poinformuje nas o szczegółach po wyjaśnieniu sprawy. I jak dodała “być może inne firmy będą mogły wyciągnąć z tej sytuacji lekcję”. Jest to postawa godna pochwały. Mamy nadzieję, że z takiego post-mortem uda się nie tylko poznać personalia szantażysty, ale również to, jaki błąd wykorzystał do pobrania danych klientów. Bo chyba to najbardziej interesuje inne sklepy internetowe… (Jeśli czyta nas szantażysta, może byłby skory podzielić się z nami tą informacją? Nasz e-mail czeka na jego wiadomość.)

Mniejsza lub większa pomyłka może się zdarzyć każdemu. Większość firm, po tym jak “mleko się rozleje” chowa głowę w piasek — tu jubiler nie ukrył tego faktu przed klientami i wszystko wskazuje na to, że do sprawy podszedł poważnie. Ba, wnioskami chce w przyszłości podzielić się z innymi. Trzymamy za słowo!

Jak widać, w dzisiejszych czasach celem ataku mogą być nawet te internetowe biznesy, które — jak mogłoby się mylnie wydawać — nie prowadzą działalności w najbardziej “wrażliwych” sektorach jak telekomunikacja czy bankowość i finanse. “Nawet” z paragony od jubilera ktoś może wykorzystać do szantażu…

PS. To nie pierwszy raz, kiedy wykradzione informacje na temat klientów służą do szantażu. Rok temu informowaliśmy o e-mailu, jaki otrzymali użytkownicy serwisu erotycznego Zbiornik.com. Anonimowi na serwisie użytkownicy zostali zdeanonimizowani przez włamywacza i dostali ofertę nie do odrzucenia. Włamywacz zobowiązał się nie przekazywać rodzinie i kolegom oraz koleżankom z pracy “ofiary” danych na temat jej działalności na Zbiorniku, o ile ofiara uiści drobną opłatę

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. W jaki sposób chcecie złamać posolone (zakładam, że są odpowiednio długie sole) hashe?

    • W taki sam jak nieposolone.

    • Pewnie chodzi o bruteforce

    • Czyli obecnie jest to niewykonalne.

    • 1.Ja sie nie znam na zabezpieczeniach, ale zazwyczaj nie trzeba lamac hasel.
      Sa one dostepne w internecie, a jak nie to moze ktos je kolekcjonuje z wyciekow danych.
      Bruteforce czy jakos tak, jest to ostatecznosc.
      2. Przypadek byłby ciekawy, gdyby haker bylby uczciwszy, czyli powiadamiał o zdradzie kto, gdzie, kiedy.
      I w zamian za dowód zdrady chciał pieniadze, a nie BTC.
      W końcu się nie włamał, jeśli omyłkowo wpisał złą stronę.
      A jesli sie faktycznie wlamal, to juz nie moze liczyc na taryfy ulgowe.

  2. Ja z artykułu wyciągnąłem jeszcze jeden ciekawy wniosek – lepiej nie mieć facebooka. Wtedy nie ma możliwości namierzenia żony, kochanki, narzeczonej i znajomych..

    • Albo ograniczyć prezenty dla wybranek serca do kwiatów.

    • A jeśli ktoś shackuje internetową kwiaciarnię?

    • Albo nie zdradzać żony.

  3. Złapać i paluchy poobcinać, będzie nogami szantażował.

  4. wut wut, co sie odwalio? XD

  5. “nazyczona” – autor maili nie jest Polakiem lub próbuje zmylić ;)
    Prywatnie, to podzieliłbym sobie “klientów” na kilka grup i wysłałbym różne informacje.

    • Może gość jest “wykształcony inaczej”.

  6. Rada dla zdradzaczy: na wszelki wypadek poproście wszystkie wasze laski na boku o zwrot przedmiotów. W zamian kupcie inne w innym sklepie.

    Zaproście żonę na kolację z okazji rocznicy ślubu i dajcie jej pierwszy przedmiot mówiąc że czas świętować. Jak się spyta czemu na przykład 4 miesiące i 3 dni przed rocznicą, z tajemniczością odpowiedzcie że się przekona. Później w zależności od tego ile macie tych fantów co tydzień czy co miesiąc powtarzajcie akcję. Jeśli jakimś cudem faktycznie gość poinformuje 2 połówkę o sprawie, to macie alibi, że wszystko przygotowaliście z wyprzedzeniem.

    Gorzej z starymi zakupami, ale od czego kreatywność:
    – prezent od wszystkich kolegów z pracy dla księgowej
    – te kolczyki to przecież daliśmy mamie na zeszłe imieniny (choć tu pewnie się połapie że coś nie tak, baby mają pamięć do świecidełek)
    – kupiłeś i chciałeś jej już dać, ale w rozmowie wyszło że pewnie by się jej nie spodobał to oddałeś
    – może czas się rozwieźć? ;)

    • Rozwieźć a nawet rozwieść ;)
      Wtopa a’la Ashley Madison, wersja polska.

    • Rada dla zdradzaczy: nie zdradzaj albo miej jaja i odejdź, nie marnuj czyjegoś czasu i życia.

    • Od kiedy to kochance kupuje się pierścionek zaręczynowy ?
      Chyba ,że kochanka nie wie że ma żonę ?

  7. Hmmm troche slabo zwłaszcza ze Mikołajki i Swieta za pasem.
    Chociaż mistrzowie dedukcji mogą być zdziwieni bo wygląda na to ze z lekka sie przejechali na swoim pomysle

  8. Dla kogo był ten wisior? A dla kolegi, mają z żoną wspólne konto, i pomagał koledze zrobić niespodziankę. Koniec rozmowy.

    Z terrorystami się nie negocjuje, podstawowa zasada. Żadnej pewności, że po opłąceniu nie zażądają więcej.

  9. Pozostaje mieć nadzieję, iż niewielki procent żon posiada wisiora ;-]
    (6 akapit)
    No chyba, że rzecz dzieje się w Holandii ;-P

  10. Ludzie to mają problemy. Typu zabezpieczenia czyjejś bazy…

    Nie podaję danych osobowych w internecie. Jak chcę coś kupić, to tworzę nowego e-maila, wymyślam imię, nazwisko i adres, i wybieram odbiór osobisty. Nie kłócę się, po co im dane osobowe i adresowe przy odbiorze osobistym. Nie tracę sił i czasu. E-maila i zamówienie obsługuję z tora. Numer telefonu wymyślam, bo i tak nie jest potrzebny. Potwierdzenie przychodzi na pocztę.

    Odbieram osobiście, płacę gotówką i na koniec dane o transakcji dodaję jeszcze jako wpis do bazy Keepass. Może kiedyś się przyda.

    Nie przejmuję się, że ktoś może mieć moje dane w źle zabezpieczonej bazie. Nie interesuję się, co z tym robi. W normalnych warunkach, jeśli zapis z kamer nadzorczych jest nadpisywany z czasem, takiej transakcji nikt nie będzie śledził.

    • Czy to się nazywa psychoza? ;)

    • @Mikołaj

      Nie, to raczej zwyczajne, nudne, nieśledzone transakcje znane przez >99,99% historii ludzkości. Lekko dostosowane do współczesnych czasów.

      Yahoo straciło 3 mld kont. Ostatnio Equifax 143 mln. Bardziej wygląda mi to na jedyną zdroworozsądkową praktykę.

      Czy jest niewygodne? Nie mam innych doświadczeń, ale czasem się słyszy, że ktoś kiedyś nie mógł, bo czekał na kuriera który miał być 2 godziny temu…

    • Skoro wymyślasz adres, to jak odbierasz na poczcie? W innym mieście? Niekiedy służbistka-urzędniczka wymaga również jakiegoś dokumentu potwierdzającego tożsamość, nawet w wersji “za pobraniem”…

    • > i na koniec dane o transakcji dodaję jeszcze jako wpis do bazy Keepass. Może kiedyś się przyda.

      1. Podałeś wektor ataku.
      2. Jeśli to plik txt z opisem własnym, to jest to żaden dowód.

    • @Pshemco
      Nie odbieram na poczcie, a w sklepie. W internecie ceny są niższe, towary łatwiej dostępne. Mieszkam w mieście wojewódzkim. Tutaj sklepy mają często swoje filie.

      @Adam
      Ataku na co? Dowód czego? Zapisuję dla siebie… Może się kiedyś przyda.

  11. “Nażyczona” :D Jak pobierałem się z moją żoną, to w kancelarii parafialnej mieli skoroszyty opisane “Księga Narzyczonych” Ortografia jest równie problematyczna, co kwestie bezpieczeństwa.

  12. Brzmi trochę jak kolejne przygody hakera Janusza ;-)

  13. Wtyczka Przelewy24?

  14. Cudownie jest nie mieć żadnych kont na portalach społecznościowych… ;-) Poraz kolejny się o tym przekonuje.

    • A jak już ktoś koniecznie musi mieć to proponuję Jana Kowalskiego.

  15. Póki co saldo wyłudzacza nadal wynosi okrągłe 0 :)

  16. > nie wiemy czy otrzymali ją wszyscy klienci, czy tylko Ci, którzy kontaktowali się ze sklepem

    Poprawcie to “Ci”.

  17. Szantaż czymś takim? Może jeszcze zagrożą, że zdradzą żonie/narzeczonej, że zdarza mu się czasami puścić bąka. Litości.

  18. “Nasi eksperci niezwłocznie dokonali analizy przeprowadzonego ataku…” – rychło w czas, a wcześniej to pewnie byli na wakacjach…ot, specjaliści…

  19. “Większość firm, po tym jak “mleko się rozleje” chowa głowę w piasek — tu jubiler nie ukrył tego faktu przed klientami…” – no właśnie z tego powodu, że “mleko się wylało”, a klientów z grubym portfelem szkoda stracić…

  20. czy GIODO został poinformowany o wycieku danych osobowych?

  21. A ile trzeba zapłacić, żeby CAŁA rodzina się dowiedziała o zakupie? :)

    Pomijam już, że w zdrowym związku taka historia nie wyrządzi krzywdy, a wręcz odwrotnie. Wychodzi bokiem faworyzowanie kobiet.

    Jedyny plus z całej historii to fakt, że nikt nie zapłacił BTC. Jest to jedna z niewielu metod na demotywację anonimowych bandytów internetowych.

  22. Jeśli sól do hashowania haseł przechowywana była poza bazą to szansa na złamanie hashy może być zerowa.

  23. Może koledze chodziło o “osobiście” w paczkomacie. Wtedy takie bzdury mają sens.

  24. A jesteście pewni, że przypadkiem każdy klient, albo przynajmniej grupa nie ma oddzielnego adresu BTC, że tak rzucacie, że włamywacz kłamczuszek? :P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.