20:15
27/12/2018

Historia ataku na Morele jest jak dobra wenezuelska telenowela. Zaczęło się od niewinnego podejrzenia, że coś jest nie tak. Początkowo, ona temu zaprzeczyła. Potem zaprzeczać przestała i dziwnie ucichła, aby po kilku dniach wybuchnąć płaczem publicznie. A w tle był szantaż, wielkie pieniądze i pochopne stwierdzenia, które potem trzeba było z niemałym zakłopotaniem prostować. A to nie koniec, bo ogrom tragedii zdaje się wciąż narastać…

Nieszczęścia chodzą parami

Przekładając z wenezuelskiego na nasze: miesiąc temu Morele zostało zhackowane, a dane (ponad 2 milionów) klientów zostały wykradzione. Firma współpracując z policją prowadziła rozmowy z włamywaczem, ale po nieskutecznej próbie namierzenia hackera postanowiła poinformować klientów o kradzieży ich danych. Włamywacz w odwecie postanowił zaś opisać nie tylko to, co ukradł, ale i to jak wyglądały negocjacje oraz że — wbrew temu co twierdzi Morele — danych ukradł więcej, bo dostęp miał uzyskać także do danych z dowodów osobistych wykorzystywanych podczas zakupów na raty. Morele po naszych pytaniach w tej sprawie w pierś się uderzyło, przyznało do szerszego zakresu “wycieku” i kilka dni temu wysłało drugi komunikat o kradzieży danych (tylko do tych, którzy zostawili firmie swoje dane na potrzeby zakupów na raty). O taki:

350 000 haseł już złamano…

Wiadomo — włamanie i strata danych 2 milionów użytkowników to sprawa niełatwa . O ile firmę należy pochwalić za brak chowania głowy w piasek (i nawet można zrozumieć przeoczenie, że początkowo przeoczono iż wyciek był szerszy, bo objął także dane dotyczące dowodów osobistych), to równocześnie Morele jest słusznie krytykowane przez klientów za to, że nie o razu zresetowało hasła do kont użytkowników.

UPDATE: Okazuje się, że jak do wymuszenia resetu haseł już doszło, to …Morele nie skasowało aktualnych tokenów sesyjnych. Wymuszona zmiana hasła była więc całkowicie nieskuteczna, jeśli atakujący już był zalogowany na czyimś koncie. W niektórych przypadkach, to może być bardzo poważny w skutkach błąd.

A dlaczego taki reset w przypadku wycieku danych jest wymagany i to jak najszybciej? Bo hashe haseł się łamie. Prędzej czy później (w zależności od użytego algorytmu hashowania) “odwróci” się każdy z hashy. Morele korzystało z nienajgorszego (ale i nie najlepszego) algorytmu hashowania, ale włamywacz zdradził nam, że “złamał” już ponad 350 000 haseł (a to stan na 20 grudnia…):

Brak resetu haseł pozwalał atakującemu na:

  • 1. dostęp do kont ofiar, które hasła miały słabe (bo jak widać, to właśnie słabe hasła są w pierwszej kolejności łamane) i ewentualne uzupełnienie na temat ofiar tych danych, których być może włamywaczowi nie udało się ukraść.

A stosowanie przez klientów Morele tego samego hasła co do Morele także w innym miejscu pozwalało włamywaczowi na:

  • 2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone konta w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.

Dlatego właśnie każdy z Was powinien korzystać z managerów haseł. Wtedy przy wycieku bazy z jakiegoś serwisu punkt 2 z listy powyżej Was nie dotyczy. Managerów haseł jest wiele, my polecamy KeePassa (bo darmowy i na każdy z systemów), ale każdy inny manager haseł będzie lepszy niż żaden.

Jest jeszcze coś…

Tuż po naszym artykule, w którym informowaliśmy o komunikacie, jaki Morele rozesłało do “poszkodowanych” odezwał się do nas Czytelnik Wiktor, który komunikat od Morele dostał, chociaż konto w sklepie skasował ponad pół roku temu (wykorzystując prawa, jakie przyznało mu RODO).

Czytelnik komunikat o kradzieży jego danych dostał e-mailem, ale nie na adres, który podał Morele, a na adres:

USUNIETY_ab1ef185e0@wiktor.[nazwisko-wiktora].com

Można na tej podstawie podejrzewać, że Morele nie usuwa (nie usuwało?) wszystkich danych związanych ze swoimi użytkownikami (którzy zażądali usunięcia swoich danych), a jedynie “flaguje” je poprzez dopisanie prefiksu USUNIĘTY_<id> do domeny adresu e-mail. To bardzo zły pomysł i zaraz Wam pokażemy dlaczego, ale najpierw zadajmy pytanie:

Ile takich osób jak Wiktor było w bazie Morele w chwili jej kradzieży?
Odpowiedź: 1849

A przynajmniej taką liczbę podał nam włamywacz, kiedy go poprosiliśmy o to, aby sprawdził ile adresów e-mail w pozyskanej przez niego bazie zaczyna się od tego prefiksu.

W sprawie nie-do-końca-usuniętych-danych-klientów próbowaliśmy się kontaktować z Morele od 7 dni, ale do dziś nie otrzymaliśmy w tej sprawie żadnej odpowiedzi. Jeśli ją kiedyś otrzymamy, zaktualizujemy ten artykuł.

Zakończylibyśmy ten tekst standardowym zwrotem:

Pozostaje mieć nadzieję, że niepoprawne zacieranie danych dotyczyło tylko adresu e-mail i pozostałe informacje osób, które skasowały swoje konta przed kradzieżą zostały skutecznie usunięte i w chwili włamania nie znajdowały się w bazie.

…ale wszystko wskazuje na to, że nadzieja w tym przypadku byłaby płonna. Dowodzi tego eksperyment Wiktora.

Usunięte dane Wiktora udało się odczytać z serwerów Morele

Wiktor postanowił “przypomnieć” hasło dla tego dziwnego adresu e-mail na jaki otrzymał wiadomość z Morele …i mu się to udało. A po zalogowaniu zobaczył wszystkie swoje “niby-usunięte” dane osobowe.

Double Facepalm

Wszystko więc wskazuje na to, że Morele zamiast dane kasować, po prostu w dość nieudolny sposób “blokują” dostęp do konta, zmieniając użytkownikowi, który chciał skorzystać z praw jakie daje mu Rozporządzenie o Ochronie Danych Osobowych, adres e-mail na “nieprzewidywalny”.

Niestety, taka blokada jak widać jest podwójnie problematyczna. Raz, że w przypadku użytkowników z własną domeną i mechanizmem catch-all pozwala na odzyskanie swojego “skasowanego” konta, a dwa, że w przypadku kradzieży danych, złodziej pozyskuje to, czego pozyskać nie powinien…. Gdyby komuś udało się przewidzieć sposób generowania tego <id> po “USUNIĘTY_”, to byłoby i trzy. Istniałoby bowiem wtedy także ryzyko przejęcia czyjegoś usuniętego konta — zwłaszcza, że do niedawna bardzo łatwo można było komuś konto usunąć — wystarczyło ofierze podsunąć jeden prosty link).

Nie tylko Morele tak robią…

Morele, niestety, nie jest jedynym serwisem, który w taki sposób “usuwa” rekordy użytkowników ze swojej bazy. Jak informuje Wiktor, podobne doświadczenia spotkały go z serwisem infopraca. Tam “skasowane” konto otrzymuje prefiks “xxx” przed adresem e-mail, ale przynajmniej “hasła” nie da się “przypomnieć”.

My sami dorzucimy jeszcze jedną historyjkę. Podczas analizy bazy, którą stracił pewien duży znany serwis internetowy, na jaw wyszło, że wielu użytkowników tego serwisu ma pewne, dość skomplikowane hasło. Brzmiało ono tak:

Z4BL0K0W4N3

Nie powiemy jaki to serwis, ale pewnie sporo z Was też ma tam konto ;) Gdyby Wam kiedyś zablokowali konto w jakimś serwisie, bo np. nie uregulowaliście na czas należnych serwisowi opłat, to… już Wy wiecie co ;)

PS. Jak budować aplikacje tak aby minimalizować ryzyko wycieków danych i jak je wykrywać, gdyby do nich dochodziło opowiadamy na szkoleniu z Atakowania i Ochrony Webaplikacji. Każdy programista powinien wziąć w nim udział. Opinie tych, którzy udział wzięli znajdziecie tutaj. A najbliższe terminy tego szkolenia w różnych miastach znajdziecie w tym miejscu.

USUNIĘTY_PS. Ten akapit nie istnieje, został usunięty na wniosek użytkownika.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

218 komentarzy

Dodaj komentarz
  1. Dane osobowe to teraz dobry biznes i nikt nie chce się ich pozbywać a tylko je gromadzi w taki lub inny sposób ale miejmy nadzieje ,że posypią się kary a morele zostanie ukarany przykładowo i inni przejżą na oczy.

    • przejrzą.

    • Ciekawe jest to, że cały czas pisze się o utraconych “danych osobowych”, ale tylko w odniesieniu do poszkodowanych. Przecież prezesi takich firm też mają dane osobowe, które nigdy w mediach nie wypływają przy okazji tego typu afer. Tak wiem, to są dane publiczne i każdy (czyli mało kto) może je sobie gdzieś znaleźć. Więc dlaczego w mediach nie korzysta się nich, na przykład dodając link do urzędowych wpisów?

      Uważam to za bardzo niesprawiedliwe, że kilka, kilkanaście osób, odpowiedzialnych za miliony cennych danych o klientach, jest w mediach chroniona wirtualnym tworem w postaci nazwy spółki, firmy, choć reszta danych jest jawna. A swoimi danymi osobowymi ci ludzie odpowiadają zwykle tylko przed mocniejszymi od siebie, tzn. w randze instytucji państwowych.

      Czytając ostatnio wszystko na temat morele.net, o zaniedbaniach w zabezpieczeniach, nie kasowaniu usuniętych kont, o ukrywaniu przed klientami wycieku ich danych, itd. stwierdzam, że należy im się w polskim internecie szerkopojęty MEM.

      Każda persona i firma lub instytucja, która pójdzie tą samą drogą “zapobiegania i rozwiązywania” takich problemów, powinna być może skwitowana tekstem:

      ODWALILI MORELE

      ODWALILI MORELE

      ODWALILI MORELE…

  2. To rozumiem, że RODO zobowiązuje i Morele wkrótce dostaną do zapłaty odpowiednią karę?

    • Mm nadzieję, że to będzie ich koniec.

    • @up – masz w tym interes, by to był koniec tego sklepu? To dla ciebie konkurencja czy po prostu tak sobie lubisz życzyć źle ludziom na Nowy Rok?

    • @michu
      To nie sklep, tylko pralnia pieniędzy. Podejście do klienta jest gorsze, niż żenujące. Mam nadzieję, że znikną z rynku

    • Oczywiście, że ma w tym interes. Upadek sklepu, który łamie prawo to korzyść dla społeczeństwa i przestroga dla innych. No, w to drugie nie wierzę, ale jeśli sąd uzna, że złamali prawo, to dla mnie ten przypadek jest tożsamy z oszukiwaniem własnych klientów.

    • Pakowanie i wysyłanie klientom produktów używanych, często z reklamacji i napraw jako fabrycznie nowe.

  3. Czemu UODO jeszcze nie dowaliło najwyższej możliwej kary za tak rażące uchybienie?!

    • Bo im pewnie Morele mydla oczy i trwa analiza czy nie lepiej bedzie oglosic upadlosc i zalozyc nowa spolke pt. Brzoskwinki.org

    • Nie dowaliło bo w 2011 roku fundusz MCI.TechVentures przejął pakiet mniejszościowy spółki Morele.net. Fundusz należy do jednego z Niemców ,a ten śmieszny PO-wski UOIK boi się Niemców^^

    • Bo tu nie chodzi o to aby karać każdego za byle co, ale tego co się miga od odpowiedzialności, zwalając wyłącznie winę na użytkownika w razie wpadki. UE chodzi o to, że ludzie mają być świadomi tego, że ich dane wyciekły i nie ma to polegać na tym, że się ktoś wypiął na użytkownika zwalając winę na niego lub nawet nie odpowiadając chowając głowę w piach. Pod nadzorem UE taki gigant jak Google nawet zmienił swoją politykę.

    • karać na lewo i na prawo? to było celem RODO? jak widać dla kilku januszy – tak, owszem. Ale jak się opłaca IT za 2500 na rękę i każe siedzieć na tyłku po 8h, bo trzeba, bo kodeks pracy to księga życia i śmierci to się tak ma. RODO ma chronić przed nadużyciem i przekazywaniem sobie danych, a nie przed wyciekami, pozwijcie sobie intela za meltdown..

    • Droop 2018.12.27 21:02
      Nie bądź śmieszny. Dowiedziałam się o wycieku i co mogę z tym zrobić ? Moje dane wyciekły. Już zawsze będą krążyć w sieci. Morele nie wyrobi w moim imieniu nowych dokumentów tożsamości.

      Faktycznie prawo rewelacyjne. UNIA EUROPEJSKA DOSTANIE KASĘ ZA WYCIEK ,a ja ani grosza. Uśmiałam się. Gdzie tu uczciwość? Ja nie widzę żadnej zmiany na lepsze.

    • aga18 2018.12.27 21:21
      Tu nie ma nic śmiesznego, bo jeżeli Twoje dane faktycznie wyciekły to skutecznie zostałaś o tym poinformowana skoro o tym wiesz. I to jest to słowo klucz, że zostałaś poinformowana, bo kiedyś to byś guzik się o czymkolwiek dowiedziała. Ty masz być świadoma gdzie i jakie Twoje dane wyciekają. Kiedyś wszyscy chowali głowy w piach udając, że nic się nie stało. Unii Europejskiej nie chodzi o to, że każdemu się coś należy za każdy wyciek danych, bo to byłby absurd.

    • @smutna-prawda morele powinno dostać po doopie nie za wyciek – a za nieusunięcie kont 1849 ludzi. To bardzo prosty do spełnienia obowiązek ale nie wykonali tego, a ścimniali, że tak. Zgodnie z ustawą mają obowiązek to zrobić na wniosek osoby zainteresowanej.

    • Droop 2018.12.27 21:33
      W jaki sposób ta świadomość mi pomoże bo nadal nie rozumiem?
      Przecież nie zmienię sobie nazwiska, numeru telefonu czy adresu zamieszkania.
      Dla mnie się nic nie zmieni. Wiedza nie umożliwi mi odzyskania prywatności:)

    • @aga18
      > Przecież nie zmienię sobie nazwiska, numeru telefonu czy adresu zamieszkania.

      Ale możesz zastrzec dokumenty (jeżeli wyciekły), możesz też zmienić hasła w innych serwisach. Możesz też bardziej uważać na ataki socjotechniczne przychodzące na Twój nr telefonu (nawiasem mówiąc zmiana numeru to nie powinien być problem w razie potrzeby).

      Myślę też że dałoby się obciążyć Morele kosztami wymiany dokumentów i nr telefonu oraz wykupienia alertów BIK. To jest w sumie ciekawy temat, który redakcja mogłaby podjąć – jaką szansę na wygraną bym miał gdybym pozwał Morele o zwrot takich kosztów.

    • Marek 2018.12.27 22:36
      Powinno być odszkodowanie ,ale to nie USA. NA WYCIEKU ZAROBI UE ,a obywatel jak zwykle poszkodowany.

      Zastrzeżenie dokumentów to dopiero początek. Będę zmuszona poinformować wszystkie instytucji zarówno państwowe jak i prywatne ( ubezpieczyciel , bank, itd.) .

      Numer telefonu to też nie prosta sprawa bo trzeba powiadomić znajomych, instytucje bankowe. Zaktualizować dane na nasza-klasa , google, netflix, skype, poczta google, ebay, alibaba,aliexpress i wielu innych serwisach:( Ja ich naliczyłam łącznie 30.

    • “Fundusz należy do jednego z Niemców ,a ten śmieszny PO-wski UOIK boi się Niemców”
      “NA WYCIEKU ZAROBI UE”

      I wszystko jasne.

    • Morele z tymi “usuniętymi danymi” po prostu dobrze zaimplementowało jedną z zasad internetu, która mówi “Nothing disappears from the Internet. Ever.” :)

    • @aga18
      > Powinno być odszkodowanie ,ale to nie USA.

      Nawet jakby to było USA to nic by to nie zmieniło. Nie słyszałem, żeby w USA ktokolwiek wypłacił odszkodowanie sam z siebie, z automatu. W przypadku wycieku z Mariotta dopiero szykuje się pozew. Tak jak mówiłem wierzę, że Morele też dałoby się zbiorowo pozwać i myślę, że jest szansa, że to się wydarzy. Na razie poczekajmy na wyniki śledztwa.

      Przy okazji warto podkreślić, że wyciek to wina przestępców, którzy najpierw szantażowali firmę, a teraz rozprowadzają jej dane. Widzę w komentarzach mocne pociski na Morele, typowy “victim shaming”. Przez takie zachowanie doprowadzamy do tego, że firmy albo nie będą informować o wyciekach, albo co gorsze płacić szantażystom. Morele oczywiście musi ponieść konsekwencje niezabezpieczenia bazy (do czego są zobligowani prawnie), ale nie chcę żeby firmę “dojechali” lub “puścili z torbami” do czego wielu komentujących nawołuje.

      Mam jednak nadzieję, że “dojadą” złodziei-szantażystów. Apeluję do Morele o wynajęcie profesjonalnej firmy zajmującą się analizą powłamaniową.

    • Marek 2018.12.28 17:01
      Tu się mylisz. Yahoo w USA ma zapłacić 50 mln USD odszkodowania za wyciek danych klientów. Każdy z userów ma dostać max. po 375 dolarów:) za zmarnowany czas.

      Wyciek to nie wina przestępców tylko firmy ,która nie potrafi zabezpieczyć własnych usług.

      Gdyby nie ci szantażyści to nigdy nie dowiedzielibyśmy się o luce w zabezpieczaniach ,którą każdy mógł wykorzystać:)

      Nie liczy ,że Polacy dostaną odszkodowanie. Polska to państwo martwe, istniejące w teorii. Nie ma szans na dochodzenie roszczeń w tym złodziejskim , mafijnym państwie.

    • aga18:
      “Wyciek to nie wina przestępców tylko firmy ,która nie potrafi zabezpieczyć własnych usług.”

      A włamanie do piwnicy to nie wina włamywacza, tylko producenta kłódki i właściciela, który ją kupił… Woman Logic :D

    • aga18
      Mam wrażenie, że jesteś ruskim trollem i do ciebie nie dociera, że UE to nie karanie każdego za to, że ktoś żyje, bo ty tak chcesz. Jeżeli twoje dane wyciekły i poniosłaś z tego tytułu jakieś straty lub cokolwiek jeżeli uważasz, że ci źle i niedobrze, to dochodź swoich roszczeń tam gdzie trzeba, a nie na forum. To nie jest tak, że za każdy wyciek danych należy ci się odszkodowanie, bo to byłby absurd. O ile firma leci w kulki to możesz dochodzić swoich roszczeń, ale jeżeli firma została zaatakowana, to co? Poza tym możesz zażądać usunięcia swoich danych każdorazowo. Ważne aby żądać, a nie prosić, bo to nie to samo.

    • markac 
      Skoro właściciela stać na luksus to nie powinien zakładać kłódki tylko zatrudnić ochroniarza jak to jest w bankach czy zakładach pracy:) Inaczej sam się prosi o kłopoty.

      Droop 2018.12.30 14:16 |
      Jak nie każą za to ,że ktoś chce żyć po swojemu? Mój starszy brat jeździ na tirach i zgodnie z prawem nie będzie mógł spać w tirze tylko koniecznie w hotelu bo kochana UE zakazała.

      Jak mogę dochodzić praw w państwie ,które jest totalnie skorumpowane? ZŁODZIEJ NIGDY, NIE UKAŻE ZŁODZIEJA.

    • @aga18: “NA WYCIEKU ZAROBI UE” – w jaki sposób?? :-O

  4. Co na to GIODO? Czy redakcja może się dowiedzieć jakie czynności podjęli? Przecież za to powinna być nałożona jakaś kara.

    • Dostaną taką samą karę jak np. facebook czy mBank, czyli żadną. Poinformowali i to wszystko na ten temat…

    • Nic, bo GIODO już dawno nie istnieje ;)

  5. BEKA PL ale jednak dobrze, że RODO weszło, bo w innym wypadku moglibyśmy się o tym wycieku nigdy nie dowiedzieć.

    • Dowiedziałem się i co z tego? Dostanę jakieś odszkodowanie ,że wyciekły moje dane? No nie dostanę to co mi po tej karze?

    • @cygan, ano to, że to po takich wyciekach i nałożonych karach inni będą się starali, żeby takie wycieki nie miały miejsca, a przynajmniej żeby minimalizowali ryzyko wycieku. Widząc dzisiejszych programistów po studiach, którzy nie mają jeszcze żadnej wiedzy, takie wycieki nie dziwią, wszystko jest kwestią czasu.

    • roobal
      Nawet jak google dostanie karę to sobie odbije na klientach. To jest jak z podatkami nakładanymi na firmy. Ostatecznie za wszystkie GŁUPIE POMYSŁY WPROWADZANE PRZEZ UE zapłaci klient. Google już podniosło ceny usług. W ich ślad poszła reszta.

    • Ja się dowiedziałem o wycieku od razu jak loanme do mnie zadzwonił, że “mają” już dla mnie gotową pożyczkę…

  6. gdzie jest lista ze złamanymi kontami ?

    • Żebyś mógł na nie tak po prostu wejść? xD

  7. niech płoną i to parę razy.

    • Mam nadzieję, że masz na myśli złodziei-szantażystów.

    • Mam nadzieję że masz na myśli WSZYSTKICH złodziei i szantażystów ….
      Także tych spod znaku M.orele . bo czym innym jest nieuprawnione (niezgodne z prawem) zbieranie cudzych danych w świetle prawa, jak nie nieuprawnionym wejściem w ich posiadanie. I to nie przypadkowym biernym pozyskaniem (jak np. kiedy ktoś podnosi z ziemi upuszczony dowód/karte choroby itp) tylko świadomym i czynnym zagarnięciem I w dodatku okłamując wszystkich że “nie zbieramy takich danych”
      A to już śmiało można przyrównać z prostym złodziejstwem. bo złodziej tez nieuprawnienie wchodzi w posiadanie Twoich danych, Twoich pieniędzy czy innych wartościowych rzeczy.
      Tak więc jedno i drugie ma/nosi znamiona przestępstwa zwanego kradzieżą.

      Dlatego uważam że oprócz tego/tych którzy za bezpośrednie włamanie i kradzież danych są odpowiedzialni – w dokładnie taki sam sposób powinna odpowiedzieć firma Morele.net . I w obu przypadkach kary powinny być surowe i proporcjonalnie dotkliwe.

  8. Powinni wypłacić odszkodowanie wszystkim osobom których danych nie usunęli na ich wniosek.

    • Jesteś naiwny. RODO wymaga tego, żeby na wniosek użytkownika dane usunąć, ale PRZECHOWYWAĆ w dwóch egzemplarzach dowód na to, że się je usunęło – czyli nadal przechowywać te dane wraz z poświadczeniem, że te właśnie dane zostały usunięte. Więc chyba Unia Europejska powinna wypłacić odszkodowania za wprowadzanie takich debilnych przepisów kosztem wszystkich, firm i klientów.

    • @Julian To jest jeszcze prostsze. Jeśli ktoś coś kupił w takim sklepie – nie może zażądać usunięcia swoich danych, danych które służyły do wystawienia faktury, paragonu, mogą być podstawą ewentualnej reklamacji, rękojmi, sprzedawca jest zobowiązany prawnie do trzymania tych danych przynajmniej dopóki nie będzie mógł się czepnąć US, czyli niby 5 lat, a ta naprawdę ze względu na różne roszczenia, windykacje które mogą zaistnieć ten okres jest wydłużony, bodajże do 10 lat. Ludzie myślą, że zawsze mogą zażądać usunięcia swoich danych, a to nieprawda. Są przypadki kiedy takie żądanie jest właściwie bezprawne i nie skutkuje niczym dla sprzedawcy. A jeśli komuś tam na koncie zmieniają status w bazie, dopisują coś przed mailem, może tak sobie otagowują, ale niekonicznie akurat te dane mogą usunąć. Też jestem ich klientem, na szczęście generuję sobie od dawna keepasem do każdego sklepu/portalu osobne hasło, no ale pozostałych danych żal. Poprzednio załapałem się na wyciek od Adobe. Nie pierwsi i nie ostatni. Najlepszego w Nowym Roku.

    • Jakie dane do paragonu? Na paragodnie nie ma danych dotyczących osób, a jedynie dotyczące towaru. Oraz cena i data.

      Taki paragon w zupełności wystarczy za dowód zakupu w przypadku reklamacji. Wymaganie jakichkolwiek danych od ludzi, którzy towar odbierają osobiście w punkcie i chcą tylko paragonu, co jest praktyką wielu sklepów, samo w sobie podchodzi pod RODO.

  9. Dajmy na to że mamy takie same hasla na wszystkich portalach oraz na mailu, a mamy wyłączną podwójna weryfikację,czy to smsem czy urządzeniem, możemy być spokojni o nasze konto e-mail?

    • @Czeko

      Nie.

    • Jak masz takie samo hasło do wszystkich kont to nigdy nie możesz być spokojny

    • wyłączną czy wyłączoną ?

      Zakładam że chodzi o włączoną 2FA,
      więc …
      Zauważ że Twoja weryfikacja właśnie przestała być podwójna.

      2FA nadal Cię chroni (przyjmując że na każdym z tych portali została poprawnie wdrożona) ale atakujący ma w tym momencie dużo szersze pole do popisu.
      Przykładowo, ciąg dalszy ataku mógłby polegać na próbie przejęcia kontroli nad twoim smartfonem 2FA (phishing), ewentualnie socjotechniki z supportem jednego z portali czy nawet z Tobą osobiście.

      Na początek pozmieniaj hasła na portalach na “nie takie same”, użyj KeePass’a czy czegoś podobnego.

  10. Jak się ma sprawa jeżeli logowałem się za pomocą facebooka ?

    • Mają hasło do twojego facebooka. Tak to działa.

    • Nie mają hasła do FB, to tak nie działa…

      Mogą miećb dane które zapisales na swoim koncie

    • Od kiedy? Logowanie za pomocą FB nie polega na przekazaniu hasła do Morele, polega tylko na tym, że FB “potwierdza” że Ty to Ty i pozwala utworzyć konto w serwisie Morele, do którego dostęp ma osoba, która za każdym razem będzie zalogowana na FB i FB będzie “potwierdzało”, że “tak, to ponownie on, może wejść” :) Hasło nie jest przekazywane, działa to tak samo jak logowanie za pomocą Google czy Twittera

  11. To może teraz kompleksowy poradnik jak korzystać i jak nie korzystać z managerów haseł? Przykładowy problem: chcę korzystać z moich kont (maile, fora, społecznościowe) na kilku urządzeniach. Jak w łatwy sposób korzystać na nich z tych managerów? Program portable na pendrive może by się sprawdził pod warunkiem że nie zgubię pendrive (albo się nie uszkodzi). Manager haseł w chmurze? Nie budzi mojego zaufania

    • Ja korzystam z KeePassa, który ma wersje na Windows/Linux/Android, sam plik bazy trzymam w chmurze (bezpieczniej można na własnym owncloud na przykład), zabezpieczona jest silnym hasłem + plik, który na każde urządzenie wgrany został “ręcznie”, żeby nie wędrował po sieci razem z bazą. Dodanie samej bazy do chmury ma ten plus, że na którym urządzeniu bym nie edytował, zapisane zmiany są widoczne na każdym pozostałym urządzeniu. No i oczywiście kopie lokalne bazy :D

    • Do Keepass’a jest plugin, który pozwala synchronizować bazę z plikiem.
      Keepass2Android na Androida ma podobne funkcję.

      Jeżeli nie zadowala Cię przechowywanie bazy w chmurze to samo idzie zrobić przez SSH.

    • Potrzebujesz KeePassa. Na Windowsa, Linuxa i Maca KeePassXC: https://keepassxc.org/, na Androida KeePass2Android: https://play.google.com/store/apps/details?id=keepass2android.keepass2android, można używać bez instalacji albo zainstalować z automatycznymi aktualizacjami przez https://portableapps.com/apps/utilities/keepass_portable

    • Bitwarden – chmurowy lecz opensourcowy zarządca haseł. Jak byś się uparł, to możesz sobie postawić własną infrastrukturę lub korzystać z darmowej hostowanej wersji posiadającej nawet 2FA w najprostszych odsłonach lub zapłacić za możliwość użycia kluczy sprzętowych 2FA (+ kilka innych rzeczy).

  12. Te hasła nie za krótkie są? Widzę że minimum jest 8 znaków a na screenie są już od sześciu znaków

    • Możliwe, że kiedyś była inna polityka haseł. Ale i tak hasła, które są łamane większość są brane ze słownika i myślę że wyłuskanie większej ilości haseł będzie powodowało dalsze problemy bo łamanie metodą bruteforce będzie powodowało długi czas oczekiwania a hasła ze słownika pewnie już się skończyły i dokładane są tylko kolejne maski.

    • Możliwe, że kiedyś była inna polityka haseł.

  13. @aga18 – Dziękuję Ci za tak szeroką i rzeczową analizę problemu podniesionego przez Tomka. Bez Twojej gruntownej analizy procedur stosowanych w “UOIK” nie usnąłbym dzisiaj spokojnie.
    Ad meritum – GIODO i jego mentalny następca UODO nie grzeszył i nie grzeszy ani rychliwością, ani zaangażowaniem w ochronę naszych danych osobowych – chociaż od tego jest. Myślę jednak, że skala, rozgłos i coraz to nowe, pogrążające Morele informacje, mogą skłonić ten urząd do nałożenia dużej kary – o maksymalnej można zapomnieć.
    UODO nie ma ludzi, którymi mógłby robić kontrole – dlatego nawet za zgłoszenie naruszenia trzeba zapłacić i dlatego wymyślono koncepcję Administratora Danych Osobowych, na którego przerzucono odpowiedzialność za weryfikowanie bezpieczeństwa, zgłaszanych wcześniej do GIODO, zbiorów danych osobowych.

    • Nie tyle ADO – co IOD. ADO to spółka. IOD to osoba odpowiedzialna za prawidłowy proces przetwarzania danych osobowych.

  14. Czy jeśli mam konto, ale utworzone na podstawie logowania za pośrednictwem facebooka, to jestem bezpieczny? Czy wręcz przeciwnie? Hasło facebookowe mi na morele z moim mailem nie działa, nie wiem jak inaczej się na morele zalogować niż za pośrednictwem fejsa.

    • To chyba najgorsze co możesz zrobić, podanie tego samego hasła z innego serwisu. Tak jakbyś logował się tymi samymi danymi

    • W skrócie, przy logowaniu kliknij na “Nie pamiętam hasła” i wykonuj dalsze polecenia.
      Jeżeli to nie zadziała to dzwoń/pisz na BOK.

      Tylko uzbrój się w cierpliwość bo mogą być teraz ciutkę zajęci :)

  15. Poinformowaliście UODO oczywiście no nie? Że Morele nie kasuje danych których skasowania zażądał użytkownik?

  16. Jak nie dostałem żadnego maila odnośnie włamu, a kiedyś zadawałem im pytanie z tego co widzę to mam się obawiać?

  17. Chyba poszedł update na bazie, musiałem zresetować hasło, bo starym nie mogłem się zalogować.

    • Ten sam problem miałem i nie wiem z czym to związane może być bo nie powinni ruszać naszych haseł

  18. Powinni zniszczyć tą firmę, legalnie, prawnie za to w jaki sposób obraca danymi.
    Sam miałem konto ale je skasowałem, morał jest jeden. Należy używać fałszywych danych, lub nie korzystać w ogóle z internetu.

    • Z tym niekorzystaniem z internetu to masz sporo racji. Zwłaszcza w kontekście handlu czymkolwiek. Gdyby nie pseudo sklepy w necie, to nie padałyby sklepy fizyczne i nie ubożałaby kasa podatkowa z tytułu prowadzenia działalności! W sklepie fizycznie istniejącym pod konkretnym adresem, nikt nie pyta Ciebie o dane kontaktowe! Wybierasz towar, płacisz i wychodzisz! Paragon dowodem zakupu i podstawa do reklamacji! Kupujesz w necie? No to DANE KONTAKTOWE OBOWIĄZKOWO podajesz, bo bez tych danych nijak Ci nie dostarcza towaru pod wskazany adres! I tak za swoje WYGODNICTWO samodzielnie HANDLUJESZ swoimi danymi! A potem PŁACZ, że ktoś ma dane! A było ruszyć odwłok i pójść do sklepu! Nie byłoby problemu na taką skalę! A i w budżecie państwa byłyby większe wpływy z podatków od działalności handlowej!

  19. Uodo nie zajmuje się takimi sprawami jak wycieki danych. Dla nich najważniejsze jest czy wprowadzono dokumentację taką jak polityka , instrukcja, czy został spełniony obowiązek informacyjny itd itp

    • Ale na pewno powinno ich zainteresować nieusunięcie danych prawie 2000 osób, pomimo obowiązku narzuconego przez RODO.

  20. ..a gdyby tak usunąć u nich konto, złożyć nowe i znowu usunąć? USUNIETY2? ;-)

    • USUNIETY_USUNIETY_USUNIETY_USUNIETY_USUNIETY_ … aż się miejsce w zmiennej na email skończy :)

  21. Ostatnio Morele miało jeszcze jeden błąd pozwalający usunąć konto po prostu wchodząc na odpowiedni link (zwykły GET, niczego nie trzeba było potwierdzać).

    Więc w teorii można było wysłać komuś ten adres i jakoś przekonać osobę do wejścia na niego, a potem założyć taki sam email tylko z przedrostkiem “usunięty_” i w ten oto sposób można było zalogować się na dowolne konto ;)?

    • Ciekawa uwaga :). W zasadzie to chyba byłby możliwe.

    • No chyba nie, bo po USUNIETY_ jest losowy ciąg znaków a nie poprzedni, prawidłowy username przed małpą.
      W treści artykułu jest nawet wzmianka o tym, że ktoś mógłby poznać sposób jego tworzenia.

    • @Mr Faktycznie, jest tak jak piszesz :)

  22. Ten cały włam/wyciek w morele, to mi śmierdzi jakimś (być może byłym) pracownikiem, któremu nie mieści się w głowie, że firma może mieć taką “politykę bezpieczeństwa” i postanowił wszystko wysadzić zanim zrobi to ktoś inny o znacznie bardziej niecnych intencjach. Normalnie przestępcy nastawiają się na zysk i na unikanie rozgłosu a tu sytuacja jest odwrotna, przestępca nie doszedł do porozumienia w sprawie kasy (normalnie przestępca “bierze ile dają” i dalej robi swoje) no i jeszcze z redakcjami portali współpracuje zarówno w celu nagłośnienia sprawy, wyjaśnia detale, odpowiada na pytania dziennikarzy o szczegóły itd.

    • Wielu przestępców to atencyjne …..

  23. A jeśli chodzi o RODO to z tego co wiem, można opóźnić usunięcie danych użytkownika do chyba dwóch lat od złożenia wniosku jeśli usunięcie tych danych może utrudnić rozstrzygnięcie ewentualnych sporów. Nie możemy jedynie tych danych wykorzystywać w tym czasie.

    • Plus jeszcze jedno: czasem obowiązek przetwarzania danych nie wynika z przepisów dotyczących ich ochrony (i się z nimi nie wiąże), lecz z przepisów np. podatkowych (przykład: faktury VAT – zgodnie z prawem podatkowym masz je trzymać dla skarbówki przez 5 lat od złożenia PITa w razie kontroli). No i niektóre dokumenty, na których również znajdują się dane osobowe mogą być objęte kategoriami archiwistycznymi (to bardziej w szkołach, uczelniach, urzędach czy spółkach państwowych na kontraktach z rządem), co też wyklucza ich usunięcie przez czas związania kategorią Bx (a w przypadku Ax na całe życie nośnika, bo Ax są potem przekazywane archiwom państwowym).

  24. Na mojego FB próbował się ktoś już logować, naszczescie miałem inne hasło i dostałem powiadomienie i nieudanej próbie logowania. Odrazu zmieniłem hasła w innych serwisach. Morele powinno dawno dostać jakaś karę

  25. >2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone kont w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.

    Hmm, ale co reset hasła zmienia w tym punkcie? Skoro baza wypłynęła i włamywacz ją ma, to po złamaniu hasła po prostu je sprawdza dalej. Reset hasła nic tu nie zmienia.
    Może zmienić tylko w jednym przypadku – gdy włamywacz ma stały dostęp do bazy i korzysta z niej w trybie “live”. Natomiast jeśli dokonano zrzutu bazy to zmiana hasła nic nie zmienia.

    • Panie, chodziło o resetowanie hasła na tych innych portalach

    • Złodziej nie dysponuje hasłami tylko hashami haseł. Musi teraz znaleźć ciąg znaków, który wygeneruje mu taki sam hash. Znaki mogą być kompletnie inne, od czapy. Wymuszony reset hasła powoduje, że użytkownik ustawia je ponownie i jeżeli ustawi coś innego hash się zmieni diametralnie. Złodziej posługując się wygenerowanym wcześniej hasłem nie zaloguje się na takie konto.

  26. I to wlasnie jest RODO… Wrzód na dupach uczciwych programistow. A w tym jednym, jedynym przypadku w ktorym trzeba najnormalniej w swiecie, wolnorynkowo i sprawiedliwie puscic firme z torbami, to oczywiscie ‘nic sie nie da’.

    • Jakbyś za każdy wyciek puszczał z torbami to w internecie zostałyby tylko blogi i to nie wszystkie ;)

    • @Marek Nie za kazdy. Wlasnie nie za kazdy!
      Tylko za taki w ktorym firma w sposob swiadomy nie kasuje danych klientow mimo ich wyraznej prosby. Tylko za taki w ktorym ktos zostawia otwartego phpmyadmina w srodowisku produkcyjnym.
      Istnieje cos takiego jak ‘zachowanie minimalnej starannosci’. Morele pobilo rekordy niekompetencji/swiadomego zaniedbania.

  27. Aga, wyrób sobie nowy dowód. Jak wynajmujesz mieszkanie to adres kiedyś zmienisz. Z nr telefonu wywal wszystkie hasła jednorazowe i przenieś się na authy czy appkę bankową.

    Wiedza o naruszeniu prywatności daje Ci to, że możesz podjąć te działania wiedząc, że mają cel (poza polepszeniem swojej higieny bezpieczeństwa). Bez RODO obudziłabyś się potencjalnie jak by zaczęły przychodzić listy od komornika a nawet wtedy nie wiedziałabyś jak to się stało.

  28. Pytanie do Niebezpiecznik.pl, czy płacąc Google Pay (czyli podpiętą kartą debetową pod płatność mobilną) w razie oszustwa, można traktować taką płatność jako płatność fizyczną kartą debetową i w razie czego wystąpić o zwrot pieniędzy do banku? Jak to wygląda z prawnego punktu widzenia?

  29. Z wieszaniem Moreli za nie-kasowanie danych proponuję poczekać. Nie sprawdzałem jak mają to zapisane w regulaminie, ale jeśli user coś kupił, to mają prawo trzymać dane przez ponad 5 lat licząc od dnia ostatniej transakcji… analogicznie jak dokumenty księgowe.

    A z tym resetem hasła to faktycznie cyrk: zmieniłem kiedyś adres e-mail i mogę teraz zainicjować zmianę hasła do jednego konta podając zarówno aktualny jak i pierwotny adres.

  30. Zajumali mi screen z wypoka i nawet nie napisali

  31. hańba! tyle błędów że powinni zawiesić działalność tej spółki działającej na szkode Polskich obywateli

  32. Mozliwe jest ze problemem jest umiejscowienie serwerów?
    Morele sa kolorowane w Atman a tam ostatnio fala zwolnień (atman przejął fundusz MCI, właściciel Morele).

    Mozliwe ze jakiś źle potraktowany przez MCI pracownik atman uznał Morele za cel idealny.

    Uderza w dwie inwestycje MCI…

    Do zastanowienia

    https://www.atman.pl/Serwery-dedykowane-od-Atman-dla-Morele-net-cabout-pol-117.html

    • “Kolorowane” tzn dla niepiśmiennych?

    • @Alan Grant
      Powinno być “kolokowane”. Zdaje się, że smartfonowy podpowiadacz zawinił.

  33. Obawiam się, że problem “nieusówania” danych dotyczy większości, jak nie wszystkich sklepów internetowych. Nie stoi to także w 100% w sprzeczności z prawem do bycia zapomnianym. Sklep ma obowiązek przechowywania danych o zakupach, nie może więc w przeciagu (5?) kilku lat usunąć danych o zakupie. A co jeżeli kupiłem coś z gwarancją sklepu 10 lat? Mogę jej potem wymagać? Nawet nie wiem. Zakładam, że sklepy flagują dane i “powinny” je usuwać, gdy są już zbędne. Ale kiedy stają się zbędne? Kolejne pytania generują następne. Nie bronię sklepu, sam się zastanawiam jakie to może nieść i dla mnie konsekwencje…

    • A nie mogły by przechowywać tych danych ale bez haseł?

    • > A co jeżeli kupiłem coś z gwarancją sklepu 10 lat?

      No, zgłaszasz się z paragonem i tyle. Proces nie wymaga przechowywania przez sprzedawcę żadnych danych na twój temat.

  34. Jestem pewny że w sieci od dawna krążą moje dane, dlatego używam LastPassa.
    Hasło wszędzie mam inne + główne do LastPassa jest najdłuższe jakie mogli przyjąć i nie jest ono przechowywane w formie elektronicznej (zapisane jest na papierze w formie której losowa osoba raczej nie odczyta – wymyślony alfabet zapisany runami). Gdy aplikacja/witryna/usługa z której korzystam oferuje 2FA – również i z tego korzystam jako dodatkowe zabezpieczenie.

    Niestety to i tak mnie nie uchroni przed wyciekami moich danych. Może mnie jedynie chwilowo uchronić przed nieuprawnionym dostępem do kont innych aplikacji/stron/usług z których korzystam.

    Pozdrawiam serdecznie,
    Patryk.

    • “Jestem pewny że w sieci od dawna krążą moje dane, dlatego używam LastPassa”

      Nie ufam LastPassowi. Nie ufam niczemu, co przechowuje moje wrazliwe dane w chmurze i integruje sie z przegladarka.
      https://www.theregister.co.uk/2017/03/21/lastpass_vulnerabilities/

      Dlatego uzywam KeePassa z baza zapisana lokalnie, 39 znakowym haslem i plikiem klucza na pendrive. Moze w przyszlosci dorobie sie swojego klucza YubiKey.

    • Na LastPassa 2 razy już się włamano.
      Pomyśl nad KeePassem.

    • @Morelowy
      Mam nadzieję, że masz backup tego pliku z pendrive.

  35. Bardzo ciekawe, wyszukując hasło z końca artykułu trafiłem na taki oto portal:

    https://newsbeezer.com/polandeng/the-passwords-of-350000-users-of-apricots-have-already-been-broken-worse-still-the-data-has-also-been-leaked-to-those-who-have-even-deleted-their-accounts-from-the-burglary-niebezpiecznik-p/

    Sugerował bym jakieś DMCA czy coś. Chociaż respekt dla hakera który wykradł bazę z Moreli.

    • Za co respekt? Respekt to mógłby być gdyby zrobił responsible disclosure. A to zwykły złodziej i szantażysta, mam nadzieję że zgnije w Sztumie.

  36. a) “Dlatego właśnie warto korzystać z managerów haseł. Wtedy przy wycieku bazy z jakiegoś serwisu punkt 2 powyżej Was nie dotyczy. ”

    Prosba o rozwiniecie tej mysli.

    b) gdzie sie podzialo tradycyjne dla Niebezpiecznika “kazdemu moze sie zdarzyc”? Czyzby redakcja uczyla sie odrozniac glupote pseudo-adminow od zdarzen losowych? Jesli tak, to autentycznie sie ciesze, zobaczymy jak bedzie dalej…

    • @Macias

      a) Jak używasz managera haseł, to masz różne hasła do każdego serwisu i wyciek danych z jednego nie oznacza z automatu, że ktoś Ci wbije na konto na innym serwisie

      b) Każdemu się mogło zdarzyć, choć faktycznie wpadka jest spektakularna. Ale jeżeli nie miałeś jeszcze żadnego przypału na produkcji to najpewniej po prostu jeszcze o tym nie wiesz ;) Google i innym Facebookom takie przypały uchodzą na sucho bo mają programy bug bounty, gdzie takie rzeczy się zgłasza po cichu. Jakby Morele miało taki program i płacili chociażby $10k za tego typu zgłoszenie to pewnie sprawy by nie było…

      Tak btw – czytałeś raport z wycieku z Equifaxu? Jakbyś nazwał fakt, że wyprowadzili dane m.in. przez to, że jeden z certyfikatów wygasł i nikt go nie odnowił przez 18 miesięcy? Głupotą admina? Czy nieumiejętnym zarządzaniem? Łatwo wszystko zwalać na adminów nie mając obrazu całości…

    • No @macias, masz tutaj trochę racji, bo często jest tak, że admin (ktoś odpowiedzialny za bezpieczeństwo ) zgłasza że są pilne zakupy/przedłużenia etc etc, ale KTOŚ MĄDRZEJSZY NA GÓRZE podejmuje decyzję żeby tego nie robić “albo przynajmniej troszkę później” bo się plan biznesowy wali i “nie można tak na lewo i prawo nierozsądnie wydawać teraz kasy”… “Najlepiej jakbyście dojechali do maja – wtedy na spokojnie już się załatwi”
      :)

    • Też chętnie się dowiem, dlaczego kiedy ktoś korzysta z managera haseł, punkt drugi go nie dotyczy. Chodzi mi o fragment:
      “Dlatego właśnie każdy z Was powinien korzystać z managerów haseł. Wtedy przy wycieku bazy z jakiegoś serwisu punkt 2 z listy powyżej Was nie dotyczy. Managerów haseł jest wiele, my polecamy KeePassa (bo darmowy i na każdy z systemów), ale każdy inny manager haseł będzie lepszy niż żaden”.
      Stwierdzenie absolutnie nieuprawnione. Nigdy nie korzystałem z tego typu aplikacji, ale dla testu zainstalowałem i utworzyłem dwa konta email w dwóch portalach. Oba z takim samym loginem i hasłem. Oba konta dodałem do keepass bez problemu. Dlatego nie rozumiem co ma wspólnego korzystanie z managera haseł z tym, że punkt drugi powyżej nas nie dotyczy. Nie uprawnione jest także stwierdzenie, że skoro korzystasz z managera haseł to masz różne hasła. Zmierzam do tego, że może taki manager ułatwia życie z trudnymi do złamania, długimi i skomplikowanymi hasłami, ale nie wymusza tego i sam fakt korzystania nie zwiększa naszego bezpieczeństwa ani ciut ciut :)

    • Zle korzystasz z managera hasel.

    • @Marek, ad.1) kazdy z istniejacych managerow hasel wymusza unikalne hasla?

      ad.2) “Ale jeżeli nie miałeś jeszcze żadnego przypału na produkcji to najpewniej po prostu jeszcze o tym nie wiesz ”

      Mowie o czyms innym — odroznieniu przypadku losowego od glupoty. Zajrzyj do starych niebezpiecznikow i przeczytasz o tym, ze pracownikowi np. banku zdarzylo sie umiescic taaaaka listy adresow klientow w CC. Banki maja tyle kasy, ze do komunkacji z klientami powinny sluzyc specjalne programy z definicji uniemozliwiajace takie numery. No, ale taniej jest uzywac “cywilnych” klientow.

      ad. Equifax)

      Nieumiejętnym zarządzaniem?

      Do bardziej banalnych rzeczy mam na kompie przypomnienia.

      @markooff

      W rzeczy samej :-). Skoro do tej pory sie nic nie zawalilo, to znaczy ze mozna zaoszczedzic na bezpieczenstwie, no bo jest bezpiecznie.

      @Piotr Konieczny,

      Zle korzystasz z komputera (maja zduplikowane hasla).

  37. apropo serwisów które nie kasują danych mimo skasowania konta to można wspomnieć o wykopie, dziwne że nikt się tym nie zainteresował

    • wykop trzyma kasta lewackich debili, która kasuje posty nie wbrew regulaminowi a wbrew własnemu widzimisię

    • @Hormon666

      Chyba powinno być “wbrew regulaminowi, zgodnie z własnym widzimisię”.

  38. Hahahaha
    Jednak sprawiedliwość jest jak morele dostanie 1.000.000 kare do zapłaty to sie nauczy.modlilem sie żeby ich kara spotkala.około roku temu napisałem komentarz pod zakupami że naciagaja klientów na dany produkt dokładnie zakup płyty pod ryzena 2400g.napisałem komentarz na temat moralności w biznesie i po kilku dniach komentarz znikł.

  39. to przy okazji dajce jakiś poradnik jak wyjsc z tego serwisu i przy okazji miec gwarancje , że konto juz nie istnieje

  40. Czy wiadomo jaki był wektor ataku?

  41. Za jakość obsługi reklamacji – należało im się.

  42. Kiedy ktoś wpadnie na pomysł by skontrolować z urzędu wszystkie większe serwisy tego typu? Skąd to opłacić? Nie, nie z podatków – z góry nakładać wysokie kary za każdą nieprawidłowość. Zakończyć kontrole dopiero wtedy kiedy ten biznes stanie się nieopłacalny – za mała ilość kar by pokryć koszty kolejnych kontroli.

    ████████ Hej UODO, czytacie to? ████████

  43. Usunąłem konto w morelach na około tydzień przed tą historią, prefix USUNIETY_ nie działa. Swoją drogą bałagan jaki jest w morelach i poziom “wywalenia” … Nie wierzę w ani jedno słowo od moreli.

  44. Sprawa osób, które nie zmieniły hasła… zrobił to za was kto inny. Wszystkie systemowe procedury systemowe jakością rozwiązania wołają o pomstę do nieba. Resetowanie hasła – otrzymujesz link, ale jeżeli jesteś “zapamiętany” (czyli masz trwałą sesję) to nic nie zrobisz z linkiem z maila. Po dokonaniu resetu hasła, i tak zapamiętane sesje są trwałe – “nie zostajesz wylogowany” – super, ktoś raz się zalogował na Twoje konto na morele, i do póki nie usunie danych, to będzie korzystał z dostępu do konta.

    Procedura zmiany hasła – gratuluję, że nie ma potwierdzenia przez adres mailowy – ba! nawet informacji, że ktoś dokonał zmiany hasła – ale newsletter to wysyłany jest codziennie i remarketing w formie “upierdliwy”.

    Morele.net – może tak jak facebook prewencyjnie “wylogujcie” użytkowników?

    PS. w sumie, to widząc, że “programiści” byli na poziomie tworzenia księgi gości w PHP5, może warto zaoferować pomoc?

  45. Z takich ciekawostek to jeszcze UPC w ten sam sposób robi co morele. Dodają z przodu maila: deactivated_[reszta adresu].

    • Może jakiś tutorial jest w necie z takim pomysłem :D

  46. Do tego typu serwisów używam śmieciowych haseł i śmieciowego maila. Nie kupuję na raty, nie podaję PESEL itp. Co najwyżej w takiej bazie jest moje imię i nazwisko, adres, nr tel, mail (śmieciowy) i adres paczkomatu na który zamawiam. Co niefajnego ktoś mógłby zrobić z takimi danymi?

  47. Z ciekawości przeszukałem meile czy kupowałem kiedyś coś od tej firemki. Nie korzystałem z ich serwisu ale kupowałem kiedyś od nich coś przez allegro. Dzięki magii internetu dane z allegro powędrowały do morele i z ich systemu dostawałem meile o zmianie statusu zamówienia i imienny rachunek. To jeSt dopiero patologia że nie zezwalałem morele na przetwarzanie danych w ich systemie a jednak je przetwarzali i zapewne magazynowali.

    • Kto tu chyba nie czytał regulaminu i tego na co się zgodził :)
      Oczywiście, że kupując na Allegro zgadzasz się na udostępnianie danych do podmiotu od którego kupujesz – jedyna różnica jest taka, że nie tworzysz osobnego konta na kolejnej platformie i – zależnie co tam allegro wpisało dokładniej – zazwyczaj firma trzecia nie może przetwarzać tych danych w celach marketingowych.
      Zazwyczaj.

    • Blondasek: aktualny regulamin zabrania zakładania kont klienckich na podstawie danych osobowych związanych z zamówieniem.

  48. Wszyscy tak o tym RODO, że zapominają itp. Itd. A to nie jest czasami tak, że dane mimo RODO maja byc trzymane do 5 lat wstecz, ze względu na skarbówkę ?? Oni przecież trzymali pewnie tam Faktury, których nie mogli usunąć, a na to RODO zezwala… ( a wręcz jest to wymagane przez Polskie prawo)… Mimo to pochwalam Morele.net, że się przyznali, a nie schowali głowę w piasek

    • Dane do faktur mogą sobie trzymać. Ale to co innego niż dane użytkownika i jego konto.

  49. Witajcie.w związku z wyciekiem chce wreszcie zacząć używać menedżerów haseł.ale co jeśli używam iosa?
    Co jest kompatybilne z iosem i windowsem?

    • LastPass
      1Password
      Dashlane
      KeePass (są aplikacje na iOS)

    • @Krystian ja uzywam Enpass — jest zarowno na iOS, Android, Windows i Mac.
      Zaletą jest to, że oplata jest jednorazowa. Zaszyfrowaną bazę trzyma lokalnie oraz moze trzymac rowniez na dropboksie.

    • Wiem, że fani jabłek często wybierają 1Password. Pójdzie zarówno na iOS jak i na Windows. Z darmowych to KeePassXC ma wersję na macOS, na iPhone będziesz musiał skorzystać z MiniKeePass (bazy są kompatybilne).

    • iOS – KeePass Touch
      MacOS – MacPass :)

  50. @redakcja czy ktoś zgłaszał już ten breach do https://haveibeenpwned.com ?

    • +1 Świetny pomysł!

    • Wydaje mi się, że niebezpiecznik nie ma całej bazy. A nawet gdyby miał, to chyba nie może ot tak sobie przekazywać jej komu chce, na to też są paragrafy. Wydaje mi się, że Troy Hunt indeksuje tylko dane dostępne publicznie.

  51. I po raz kolejny okazuje się, że kolejna firma na rynku, zdawało by się poważny gracz, ma wszystko “na sznurkach” i sztukowane aby się trzymało w kupie.

  52. W Moich serwisach wymagam silnych haseł i powinien to być standard w branży

    • Czyli co najmniej 20 znaków, w pełni losowych? Mierzysz entropię przy pomocy dropboxowego zxcvbn? I sprawdzasz (zgodnie z zaleceniami NIST )czy wprowadzane hasło nie znajduje się w haveibeenpwned? Hasła hashujesz scryptem, argon2 lub bcryptem? I w przypadku tego ostatniego work factor jest ustawiony co najmniej na 10? Używasz zarówno soli jak i (znowu zgodnie z zaleceniami NIST) pieprzu?
      Bo jeżeli nie, to obawiam się, że możesz pewnego dnia podzielić los Morele…

  53. ma ktoś link do tej bazy?

  54. Dostali owneda jak zwykłe nooby.
    Ciekawe jaka będzie kara za taki wyciek i jak to się ma z RODO.

  55. Kasuje tam konto, nie kupię u nich już niczego, nie dlatego że wykradli dane ale dlatego że wykradli dane które powinny być usunięte!

  56. Te słownikowe proste hasełka “złamał” już pewnie przed 19.12.2018, kiedy to misterny plan okupu poszedł się…. I wtedy wściekły hakerek zaczął się bawić. Właśnie sobie przeglądam logi mojej poczty, której adres e-mail miałem w morele, i widzę, że 2018-12-19 około czwartej w nocy nastąpiła próba logowania do poczty (nieudana, hasło do poczty oczywiście mam inne niż miałem w morele) przez SMTP Irańskiego ISP.
    Sprawdźcie, czy mieliście próby w podobnym okresie.
    Z.

  57. Czy to przypadek, że w tym wygenerowanym ID znajdują się cyfry 1850 (chociaż nie po kolei) i jednocześnie liczba takich kont była niemal identyczna? To chyba nieco ułatwia odgadniecie sposobu, w jaki te ID są generowane :)

  58. Czy ktoś wie jak te hasła były zaszyfrowane? Symetrycznie czy digest ? Salting?

    • Digest z solą.
      md5crypt (nie mylić ze “zwykłym” md5)

  59. Witam. Osobiście pomimo częstych zakupów w sieci prywatnie i służbowo to nie widzę potrzeby zakładania konta w sklepach internetowych, bardzo szanuje sobie opcje “zakupu bez rejestracji” i minimalnych danych jakie muszę podać do finalizacji transakcji.

  60. ten tytuł maila od nich z maja taki piękny!
    “Twoje dane są bezpieczne”

  61. “Nie powiemy jaki to serwis, ale pewnie sporo z Was też ma tam konto” – Czyżby Google LLC?

    • Obstawiam alle w drodze :).

  62. Czy dobrze rozumiem, że jeśli dostałem maila dokładnie o treści jak przytoczona, to powinienem już składać wniosek po nowy dowód osobisty?

  63. Czyli jeśli dobrze rozumiem artykuł i to co się wydarzyło, w najlepszej sytuacji są Ci, którzy usunęli konto po wycieku :)
    Wtedy włamywacz nie dysponuje tym “nowym” mailem, przynajmniej do czasu kiedy dowie się jak są tworzone te adresy dla kont usuniętych. Zakładam, że dane kont usuniętych mają dla włamywacza potencjalnie większą wartość niż te kont aktywnych :)

  64. chwila chwila, czy tego co wykradł dane nie obowiązuje RODO i czy ma prawo przetwarzać/łamać hashe?

    • Mhm… złodziej już na pewno powołał własnego ADO i IOD.

  65. Co radzicie osobom które dokonywały zakupów na raty i zaznaczyły opcję:

    “zgadzam się na zapisanie w morele.net moich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych”

    Wyrabiać nowy dowód osobisty?

  66. a czy czasem nie jest tak, że jeżeli ktoś od Morele coś kupił to niezależenie od RODO są oni zobowiązani do trzymania jego danych przez 5 lat (historii zakupów itp.) ?

  67. Ogólnie, po przeczytaniu dokładnym całości (poprzednich odsłon skandalu pod tytułem Morele,oraz teraz także i tego artykułu) dochodzę do przekonania że Morele upadło już prawie na samo dno .

    Bo o ile jeszcze można zrozumieć że firma po otrzymaniu bolesnej lekcji stara się podnieść siebie i nas na duchu (jednocześnie informując o problemach i zagrożeniu) , ale z drugiej strony powinna robić w tym czasie wszystko aby zminimalizować raz poniesione straty dwa naruszenie bezpieczeństwa, trzy ryzyko dla swoich partnerów (czyli dla Nas ogólnie rozumianych) .
    Natomiast z każdym kolejnym etapem tej sprawy (i sledztwa) wychodzi na jaw że firma nie tylko że raz pozwoliła się połozyć na łopatki i to boleśnie to tak naprawdę nigdy (a przynajmniej od dłuższego czasu) nie robiła nic aby zapobiec możliwemu takiemu scenariuszowi , a co więcej robiła wiele aby do sprowokować swoją bezmyslnością , parciem na kasę (i tylko i wyłącznie kasę) oraz super mądrymi i przemyslanymi – jak to widać obecnie decyzjami personalnymi. Bo ktoś musiał jednak tych , pożal się boże , administratorów i programistów przyjąć do pracy … ktoś zweryfikował (??) ich umiejętności/braki i ktoś podjął finalnie decyzję – mogę się założyć że w oparciu o jedyny czynnik jaki decyduje w przetargach – czyli kwestię ceny. Dodatkowo dochodzi czynnik menadżerski – bo przecież mamy tu doczynienia z przykładami wielokrotnego łamania obowiązującego prawa (dyrektywa RODO, Ustawa o ochronie danych osobowych ) oraz publiczne kłamstwa najbardziej zainteresowanym bezpieczeństwem swoich danych – ich WŁAŚCICIELOM. Czyli nam prostym ludziom którzy być może kiedyś coś kupili w tej ….firmie.

    Miałem kiedyś, w przeszłości, osobiście do czynienia z Morelami i ich zespołem na gruncie biznesowym – ale było to dobre lata temu – i wtedy wywarli na mnie dość pozytywne wrażenie (tak na stopniu menadżerskim jak i ludzi i ich podejścia do niektórych aspektów zawodowych). Wydawali się wtedy młodą dobrze rozwijającą się firmą z dobrymi perspektywami na przyszłość. Na pewno nie widziałem przykładów takiego partactwa i niefrasobliwości (dyletancji) jak to czego mamy przykłady teraz. Wnioskuję, że “trochę się musiało zmienić” w tej firmie od tamtego czasu.

    Tak na marginesie ciekaw jestem jak “wysokim” poziomem bezpieczeństwa zostali objęci w firmie Morele.net kontrahenci i współpracownicy zewnętrzni, oraz ich dane osobowe, czy równie troskliwym jak P.T. Klienci ….
    ;)

    • Przeleć po linkedin i zobacz kogo zatrudnia firma morele. Masz cały zespół adminów, deployu, testerów, dyrektorów ajti, abi…Programiści są ostatni w łańcuszku..PhpMyAdmin na zewnątrz? Zły deploy symfony? Niebardzoby mnie zdziwił fakt, jakoby wszyscy pracownicy tym phpmyadminem pracowali.

  68. “O ile firmę należy pochwalić za brak chowania głowy w piasek”

    Każda firma jest zobowiązania do podania do wiadomo sci o tym.

  69. Co ciekawe można się też zalogować za pomocą linka na maila. Wystarczy tylko ‘nie pamiętam hasła’, podać mail i mamy już dostęp do konta.

  70. Czy nagly wysyp spamu na maim mailu ( seks oferty) moze miec zwiazek z udostepnieniem maili przez typa, ktory ukradl baze? Jakos dziwnie zbiega sie to z tymi informacjami.

    • U mnie podobna sytuacja. Do tej pory na e-mail, który był w bazie Morele nie dostawałem spamu z nieznanych mi źródeł. W ciągu tygodnia otrzymałem dwie wiadomości phishingowe. Co ciekawe z domen .ru

      Być może jest to zbieg okoliczności, ale w aż tak oczywiste nie chce mi się wierzyć

  71. Ekipa dobrze się bawi. Dziś w nocy miałem próbę wjazdu na konto live.com – oczywiście udaremnioną przez Microsoft za pomocą geolokalizacji. Para danych = numer telefonu i e-mail świetnie nadaje się do takich prób.

  72. A czemu nikt nie kontroluje wyrywkowo serwisów jak postępują z danymi: czy kasują, czy archiwizują itp? To może straż pożarna powinna wyłącznie analizować skutki pożarów? Sposób konstrukcji założeń RODO wskazuje, że chodzi o maskowanie i namnażanie nieprawidłowości, a nie o troskę o ochronę danych.

  73. “Ale możesz zastrzec dokumenty (jeżeli wyciekły), możesz też zmienić hasła w innych serwisach. Możesz też bardziej uważać na ataki socjotechniczne przychodzące na Twój nr telefonu (nawiasem mówiąc zmiana numeru to nie powinien być problem w razie potrzeby).

    Myślę też że dałoby się obciążyć Morele kosztami wymiany dokumentów i nr telefonu oraz wykupienia alertów BIK. To jest w sumie ciekawy temat, który redakcja mogłaby podjąć – jaką szansę na wygraną bym miał gdybym pozwał Morele o zwrot takich kosztów.”
    @mareczku chyba cię pojebało, myślisz że nie mam na co czasu marnować?

  74. A jaki jest obecnie stan zabezpieczeń w Morele? Złodziej wciąż ma dostęp do serwisu i może ściągać dane? Jeśli zaraz po włamaniu zmieniłem hasło to już jest ok, czy powinienem to zrobić jeszcze raz?

  75. Tak tylko tu zostawiam info, że wyciekłem z Morele i już z kilku serwisów dostałem info o “podejrzanych działaniach na koncie”. Z bardziej poważnych był PayPal.

    • Moje też pociekły ,uciekły ale jeszcze nic nie dostałem, nie mam kont w społeczności możliwe że nie istnieje jak niektórzy twierdzą oby tak zostało .

    • u mnie logowanie do mega.nz, niestety udane.

  76. Nie rozumiem tego zdziwienia, że Morele oznacza rekordy jako usunięte, a ich nie usuwa.
    Być może dzieje się tak z powodu tego, że Morele chce mieć możliwość odpowiadania na ewentualne roszczenia użytkowników?
    Na przykład w sytuacji realizacji gwarancji sprzętu zakupionego w morele z gwarancją sprzedawcy? Jeżeli taka gwarancja trwa przykładowo 12 miesięcy, to Morele może przechowywać te dane 12 miesięcy od zakupu po to, żeby móc zweryfikować, że ktoś faktycznie zakupił u nich produkt jakiś czas temu i może wymagać on wymiany.
    Podobnie jeżeli chodzi o sprawy finansowo – księgowe – Urząd skarbowy może kontrolować do 5 lat wstecz.

    • Okres przedawnienia roszczeń to jeden z najczęstszych okresów retencji danych i przetwarzanie ich w tym czasie do celów związanych z umową, przepisami rachunkowymi jest legalny i wtedy wcale ani usuwać ani oznaczać ich nie trzeba.
      Ty

    • Baza kont, a baza sprzedaży/faktur jest różna.

  77. Czyli na zakupy najlepiej do osiedlowego sklepu i to z gotówką.

  78. Może przed likwidacją konta wpisać dane z sufitu, żeby potencjalny złodziej nie miał dostępu do tych właściwych?

  79. Dlaczego Niebezpiecznik współpracuje z przestępcą?
    Gość kwalifikuje się do połamania nóg i rąk, a wy go pytacie, żeby sprawdził, może mu jeszcze gałkę zrobicie?

  80. Czemu chwalicie zachowanie morele? Przecież to ich obowiązek poinformować poszkodowanych. Staczacie się na dno.

    • Stefanie, wytlumacz nam zatem skad sie ten obowiazek bierze. Staczajac sie na dno, podpowiem Ci tylko, ze obowiazku nie ma.

    • Nie masz racji.
      RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO).

    • Norbercie – dokładnie z tego artykułu _nie_ wynika domyślny obowiązek dla wszystkich firm aby po każdym wycieku musiały informować klientow.

    • Wciąż uważam, że nie masz racji, zawiadomienie osób nie jest wymagane w przypadkach, których Morele niestety nie spełniało.
      Chętnie poznam Twoją argumentację dlaczego Morele nie musi spełniać tego obowiązku.
      Pozdrawiam

    • Ja nie twierdzę że morele nie musi – ja po prostu nie zgadzam się że ma obowiązek. Obowiązkiem jest wykonać analizę i podjąć decyzję tak/nie.

  81. Po wycieku z Moreli, dostałem SMSa od IdoSell.com z moim imieniem i nazwiskiem i bzdetynym numerem zamówienia.
    Powinienem tego SMSa wiązać z tym wyciekiem, czy też z czymś innym?

  82. Tak to jest jak sie zatrudnia “informatyków”, “testerów” po humanistyce albo dziwnych kierunkach…
    i mamy to co mamy…

    • Bardziej chodzi o sprawdzanie umiejętności. Ja w jednej z firm miałem całkowicie customowy test rekrutacyjny, gdzie pytania były zarazem proste dla ludzi “znających się na rzeczy” i dyskwalifikujących spore grono “udawaczy”, “misiewiczów” i spółki – i to właśnie się szanuje :)

  83. I ani słowa o zaciemnieniu danych w bazie – nie dobrze. A to przecież podstawa bezpiecznych danych w bazie.

    • Bzdura. Zabezpieczenie danych to nie tylko zabronienie dostępu do nich osobom nieuprawnionym, ale też umożliwienie (i to łatwo) dostępu do nich osobom uprawnionym!
      Dane w bazie powinny mieć strukturę adekwatną do tego, co to są za dane. A dostęp z webaplikacji najlepiej zrealizować na stored procedurach, przy okazji można upiec dwie pieczenie na jednym ogniu: zabezpieczyć przed SQL-injection i równocześnie sprawdzać poprawność danych na etapie zapytania. I przy okazji zabezpieczenie przed atakiem na bazę danych, gdyby ktoś jakimś sposobem wykradł dane dostępowe do bazy z aplikacji (zakładając że konto aplikacji ma w jej bazie tylko prawo EXECUTE, bo do stored procedur żadne inne nie jest potrzebne) :)

  84. Gdyby nie było chętnych na wyprowadzenie danych to nie było by wycieków.Większość się tu podnieca jak tłum na egzekucji, ukrzyżuj! ukrzyżuj! ale te ukrzyżowanie spowoduje tylko to że rynek przejmie zagraniczna firma i będzie coraz mniej polskiego. Ukarany powinien zostać cwaniaczek co wykradł te dane, zwykły człowiek nie niucha w kodzie by ukraść dane.Polska Policja jak zwykle na kazdym polu zawodzi jak w terenie tak i na ulicach.

    • Dokładnie. Dane będą wyciekać zawsze (Niebezpiecznik ciągle o tym przypomina na szkoleniach zresztą), bo nie ma pewnych zabezpieczeń (i nie mam tu na myśli tego, żeby ich nie zabezpieczać jak najlepiej się da, bo to oczywiste, że tak powinno być), ale dochodzimy do chorej sytuacji, że ukarana zostanie firma, a złodziej i szantażysta pozostanie bezkarny, a to on powinien dostać po łapach tak, żeby następni 10 razy się zastanowili, czy warto wykradać dane.

      Gość wykradł dane i jest po prostu złodziejem i tyle, i nie ma co go wybielać. Gdyby był normalny to po odkryciu luki powinien ją zaraz zgłosić firmie, a nie licytować się na kasę. Firma w ramach podziękowania powinna mu ufundować jakąś nagrodę. Tak to powinno działać.

      Morele dostanie (lub nie) jakąś karę, zgodnie z obowiązującymi przepisami, a i tak dane będą wyciekać, czy to z mniejszych, czy to z większych firm i to jest nie do uniknięcia w dzisiejszym świecie.

      Może Niebezpiecznik powinien się ‘włączyć’ w namierzanie takich ludzi, jak ten z artykułu?

  85. Chcialbym zauwazyc, ze Morele jest miedzynarodowa korporacja z duzym kapitalem nienieckim. Jesli ktokowiek sadzi, ze im chocby 1 zl z konta bankowego zniknie na poczet kary RODO, ten jest naiwnym dzieckiem. RODO jest od tego, aby trzymac za p.sk malych Kowalskich, aby byl zawsze jakis hak na niewygodna konkurencje lub niepolityczne zachowanie. Wielcy sa NIETYKALNI z prostego powodu: to oni stoja za GPRD, to oni je ksztaltowali i oni je uchwalali.

  86. trzeba być niepełnosprawnym umysłowo żeby podawać swoje dane a zwłaszcza pesel i dane do kredytu

    • Ale masz świadomość, że PESEL i adres podajesz u każdego lekarza, a policjant jak Cię legitymuje to nawet numer dowodu spisuje?
      Ja się zgadzam że ochrona naszych danych jest żadna, ale nie tylko prywatne firmy są winny. Państwo i jego służby też mają Twoją prywatność i godność głęboko w dupie.

    • Swoje dane MUSISZ podać policji przy legitymowaniu, która potem wyrecytuje je przez niezaszyfrowany radiotelefon i zanotuje w notesiku, w którym pozostaną już na zawsze (notesiki bywa, że gubią na ulicy).

      Swoje dane MUSISZ podać, gdy leczysz się w szpitalu, również prywatnym. Swoje dane MUSISZ podać, gdy chcesz dostać receptę na leki, również prywatnie.

      Co zrobisz, skoro państwo żąda od Ciebie danych na każdym kroku, a samo też ich nie potrafi zabezpieczyć?

  87. Ciekawe, jestem tam zarejestrowany już długo, a żadnego maila nie dostałem. Dopiero się dowiedziałem dzisiaj, że coś tam rozsyłali

  88. Zamiast osadzać w więzieniach przestępców, to wydaje się jakieś RODO…

  89. Przecież można dać prefix z datą i wtedy może być wiele kont dla maila usuniętych…

  90. A gdzie jak “rzyć” ?

  91. Morele wyciekły również dane dostępowe do innych serwisów, m.in. InPost, Allegro, Amazon, Skąpiec, Ceneo, Opineo, Ecard, Action, ABCData, Paypal, Schenker, Google, Santander, Przelewy24, Veracomp, GetResponse, Ruch, Poczta Polska.
    Planujecie dodać aktualizację do artykułu?

  92. Bardzo ciekawa wiadomość. Te dramatyzujące komentarze są zabawne. Kiedyś miałem do czynienia a firmą w której niektórzy konsultanci wiedzieli, że firma ta kupuje bazy danych kradzione konkurencji a my potem obdzwanialiśmy te bazy.
    Nie po to ktoś zawija kilkaset tys kont żeby sobie lukać Wasze Fejcbuki. Ludzie… to się sprzedaje innemu klientowi z tej samej branży (np Amazon), a ten powiększa swoją bazę BigData ( o ile taką ma) o nowe preferencje jego być może już dotychczasowych klientów. Wiem że to wiecie, ale te komentarze trochę mało konstruktywne są.
    PS ponieważ jestem “nawiedzony” to mam kilka skrzynek pocztowych. Każda do czego innego.

  93. …jak do tej pory, brak emaila ze strony morele z informacją o wycieku danych i konieczności zmiany hasła…LOL

  94. Całkiem przypadkiem sprawdziłem inne artykuły w presrumie. Co to w ogóle ma być?
    “Zgoda na przetwarzanie danych osobowych Nick”
    https://www.morele.net/wiadomosc/zgoda-na-przetwarzanie-danych-osobowych-nick/9207/

    albo to:
    https://www.morele.net/wiadomosc/potwierdzenie-zapisu-w-morele-net/9601/
    … a w środku odnośnik do innego sklepu.

  95. Morele się rozsypały…

  96. 32 znaki losowe powodzenia z łamaniem

  97. W 3 tygodniu grudnia, gdy sprawa wycieku była już znana zmieniłem dla świętego spokoju hasło. Dziś okazało się, że Morele robiąc w portki ze strachu wymusiło zmianę hasła chyba wszystkim, bez znaczenia czy użytkownicy zdążyli już to zrobić czy też nie.

  98. Hakier wszedł w posiadanie loginów i haseł do kont czy danych osobowych lub obydwu? Bardzo prosiłbym o wytłumaczenie.

  99. […] Poradnik przybrał co prawda znacznie bardziej skomplikowaną formę, niż się spodziewałem, ale zapewniam, że warto podjąć wysiłek, by to wszystko poustawiać. Poza wspomnianym uzyskaniem spokoju ducha, sprawi to, że znacznie rzadziej będziemy klikać w przycisk „Zapomniałem hasła” na używanych przez nas stronach. Wszelkie doniesienia o kolejnych wyciekach baz danych znanych firm czy sklepów będą dla nas mniej druzgocące. Będziemy mieć świadomość, że żaden typ spod ciemnej gwiazdy nie włamie się nam na inne usługi w sytuacji, gdyby jedno z naszych haseł „wyciekło” – co ma i będzie mieć miejsce, jak w przypadku ostatniego wycieku danych klientów sklepu Morele. […]

  100. “Bo hashe haseł się łamie. Prędzej czy później (w zależności od użytego algorytmu hashowania) “odwróci” się każdy z hashy.”

    Ale jak to “prędzej czy później “odwróci” się każdy z hashy”? Co to jest przedszkole jakieś? Już chyba za Hitlera lepsze szyfry stosowali…

  101. Mam pytanie, czy mogę coś zrobić w sprawie danych, które zostają po usunięciu konta np w infopraca? Czy jestem skazana na wiszenie tych danych w ich bazie?

  102. […] suite à un vol de données en décembre 2018, l’UODO avait choisi de sanctionner le site de vente en ligne car elle ne […]

  103. […] ogłupienia czy upojenia alkoholowego ujawnisz swoje hasło (albo ktoś je pozna na skutek wycieku z innego miejsca), to nikt, kto nie posiada w ręku Twojego tokena U2F nie zaloguje się na Twoje […]

  104. […] baza Morele krąży już po sieci, informujemy że kilkaset tysięcy haseł jest już złamanych, a w bazie znajdują się też dane klientów, którzy …usunęli konta. Bo zamiast zostać usunięci z bazy, zostali “sprefiksowani” zwrotem […]

Odpowiadasz na komentarz sdd

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: