11:57
18/12/2018

Dziś w nocy sklep Morele.net rozpoczął akcję informowania klientów o tym, że dane osobowe i teleadresowe, a także “zakodowane” hasła zostały wykradzione przez włamywaczy. Potwierdza się wiec scenariusz, który na Niebezpieczniku sugerowaliśmy już miesiąc temu w artykule pt. “Uwaga Klienci Morele, ktoś ma Wasze dane i chce Was oszukać“.

W związku z tym incydentem publikujemy kilka rad, nie tylko dla klientów Morele, ale w zasadzie dla każdego, kto robi zakupy w internecie.

Komunikat od Morele

Oto treść wysyłanego przez Morele e-maila:

Drogi Kliencie,
doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.
Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).
Jakie są zagrożenia?
Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości sms lub dostarczania na Twój adres e-mail informacji (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko rozkodowania hasła.
Co należy zrobić?
● zmień hasło do swojego konta Grupy Morele. Ponadto, jeśli takie samo hasło było używane w innych miejscach w Internecie – również rekomendujemy jego zmianę w tych miejscach.
● nie odpowiadaj na wiadomości email i smsy wysyłane przez spamerów. Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.
Jakie podjęliśmy kroki?
Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.
Zawiadomiliśmy o nieuprawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.
Przykro nam, że nasza znajomość, przyjaźń, a może i długoletni związek zostały wystawione na taką próbę. Ta kwestia jest dla nas absolutnym priorytetem i dużym wyzwaniem dlatego zapewniamy o pełnym zaangażowaniu całego zespołu w wyjaśnienie sytuacji i wprowadzeniu działań zapobiegawczych.
Zawsze jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami pocztą elektroniczną na adres informacja@morele.net.

Komunikat jest w całkiem OK, co do porad. Niestety, jak większość oświadczeń dla klientów zawiera “łagodzące” sformułowania, które tak naprawdę w takich sytuacjach bardziej szkodzą niż pomagają. Przykładowo:

Dostęp został wykryty i zablokowany

Ciężko nie wykryć, że coś jest nie tak, kiedy od miesiąca o atakach skierowanych tylko w klientów Morele pisze prasa… “Zablokowania” zawsze warto pogratulować, ale to przecież nie zmienia faktu, że dane klientów już wyciekły, więc użycie tego słowa w tym kontekście jest naszym zdaniem trochę zabawne…

Ten “miesiąc” zwlekania z informowaniem użytkowników w sprawie wycieku nie oznacza jednak, jak niektórzy piszą w internecie, że Morele naruszyło GDPR/RODO, bo “nie powiadomiło ofiar w ciągu 72 godzin”. Zgodnie z GDPR administrator danych ma 72 godziny na powiadomienie, ale nie ofiar, a UODO. Ofiary może (ale nie zawsze musi!) informować “bez zbędnej zwłoki” pod warunkiem, że “naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (zob. art 34 GDPR). Czy taki wyciek to powoduje? Wątpimy.

Wróćmy do tego co wyciekło. Morele pisze, że atakujący mieli dostęp do:

  • e-maila
  • numeru telefonu
  • imienia i nazwiska
  • hasha hasła

Co ciekawe, nigdzie nie ma informacji o tym, że atakujący mieli też dostęp do adresu do wysyłki/rachunku czy historii zamówień klienta (co może być istotne w przypadku produktów z licencjami). Albo więc kradzież danych faktycznie pochodziła z jakiegoś limitowanego w dane interfejsu/API albo Morele zapomniało wspomnieć o tym, że przestępcy dysponują także adresami dostaw/faktur (zwłaszcza, że te wyciekały już na początku roku).

Jakież to mogą być adresy w Waszym przypadku? Możecie sprawdzić sami pod tym linkiem:

Tylko się nie pomylcie i nie kliknijcie na hxxp://morele.net/profil/usun-konto/ — bo, jak informuje nas jeden z Czytelników, wasze konto zostanie od razu, bez żadnego potwierdzenia skasowane (gratulujemy pomysłu na taką implementację tak istotnej funkcji serwisu ;D)

Co jednak najgorsze, Morele zdaje się nie wiedzieć jak duża jest skala ataku, bo pisze

“istnieje ryzyko, że dotyczy to również Twoich danych”

Takiego sformułowania używa się, jeśli zespół reagujący na incydent nie był w stanie określić od jak dawna dane są wykradane lub ile z nich faktycznie pobrano. Za brak takich informacji często odpowiedzialna jest nieprzemyślana budowa aplikacji i niedostateczne logowanie lub monitoring własnych systemów. Błąd popularny i występujący w większości firm, poprawiany dopiero po pierwszym incydencie, kiedy podczas analizy zespół uświadamia sobie “jak dobrze by było, gdybyśmy mieli taką a taką informację

O tym na co zwrócić uwagę podczas budowy bezpiecznego serwisu/sklepu internetowego, mówimy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji. Z opiniami uczestników ostatnich terminów możecie się zapoznać tutaj. Terminy na 2019 rok już opublikowane, więc zapraszamy do rejestracji.

Co muszę zrobić, jeśli kupowałem w Morele?

Załóż, że przestępcy maja dostęp do wszystkich danych, jakie podałeś temu serwisowi i — jak zresztą informuje samo Morele.net — zmień hasło, zarówno do ich sklepu jak i każdego innego miejsca, gdzie mogłeś mieć podobne.

W przeciwnym razie przestępcy znając Twój adres e-mail z Morele i Twoje hasło z Morele zaczną sprawdzać, czy na te same dane masz też konto na Uberze, w Allegro, Facebooku lub w innych serwisach. I będą się tam próbować logować aby wykraść inne Twoje dane lub pieniądze.

Twoje dane prędzej czy później wyciekną, więc podawaj ich jak najmniej

Jeśli kupujesz w internecie, niezależnie od tego w jakim serwisie/sklepie, to rozważ podawanie sklepom jak najmniej danych.

Jeśli korzystasz z paczkomatów, do odebrania przesyłki nie musisz podawać swojego numeru telefonu ani poprawnych danych osobowych. Podanie XXX zamiast imienia i nazwiska oraz +48000000000 zamiast numeru telefonu zostanie zaakceptowane, paczka ruszy w drogę do paczkomatu a Ty ją odbierzesz za pomocą kodu, który przyjdzie na adres e-mail (tak, adres e-mail to jedyna informacja, jaką będziesz musiał się podzielić ze sklepem).

Oczywiście polecamy pod XXX podstawić jakieś imię, a pod 000000000 jakiś nieaktywny numer telefonu, żeby mniej rzucać się w oczy (zresztą numer rozpoczynający się od 000 w wielu formularzach polskich sklepów w ogóle nie przejdzie). Dobrą metodą jest kupić starter na stacji benzynowej i go nie aktywować. Operatorowi nie podajecie swoich danych, a za 5 PLN macie gwarancję, że z tego numeru ze startera nikt inny nie korzysta, więc możecie go spokojnie podawać.

Napisaliśmy rozważ, bo każdy z Was powinien samodzielnie podjąć decyzję, czy chce minimalizować w ten sposób ryzyko wycieku jego danych. Niektórym sumienie może na to nie pozwolić, bo w pewnych sklepach trzeba potwierdzić “regulamin”, który może wymagać podania prawdziwych danych osobowych (chociaż jeśli ktoś wymaga od klienta prawdziwych danych osobowych podczas wysyłki paczkomatem, to robi to źle: po pierwsze dlatego, że to nadmiarowe i niepotrzebne, po drugie dlatego, że i tak tych danych nie weryfikuje). Dla tych, którzy chcą być maksymalnie etyczni mamy więc jeszcze jeden sposób miminalizacji danych (w kolejnym rozdziale).

A co w przypadku reklamacji? W przypadku reklamacji potrzebny jest paragon i/lub dowód zapłaty, choć także nie zawsze. Tymi danymi będziecie jednak dysponowali, niezależnie od tego jakie dane podaliście na formularzu dostawy/rejestracji konta w sklepie. Jednym zdaniem:

Da się w Polsce robić w większości miejsc zupełnie bezproblemowo zakupy podając jedynie poprawny adres e-mail. W niektórych miejscach konieczne jest podanie numeru telefonu, ale wcale nie musi to być numer prawdziwy.

Jeśli brak podawania prawdziwego/aktywnego/działającego numeru wzbudza Wasze obawy lub gryzie Wasze sumienie, to możecie skorzystać z poprawnych numerów telefonów generowanych przez aplikacje “VoIP”, które można zdobyć za darmo. Jak? To wyjaśniamy poniżej.

Chroń zwłaszcza numer telefonu lub używaj 2 numerów

Podczas naszych wykładów “Jak nie dać się zhackować?” (które niebawem odbędą się w 15 miastach w Polsce) zawsze podkreślamy:

Dlaczego ochrona swojego numeru telefonu jest dość istotna? Bo niestety w Polsce ten numer traktowany jest czasem jako element potwierdzenia tożsamości lub autoryzacji. Np. w banku. Rok temu opisywaliśmy jak przestępcy po poznaniu numeru telefonu ofiary, jej PESEL-u i nazwiska panieńskiego matki okradali ofierze konto w mBanku za pomocą aplikacji mobilnej mBanku. Pół roku temu zaś wspominaliśmy o tym jak przestępcy którzy znają numer telefonu klienta banku wyrabiają u jego operatora duplikat karty SIM i czyszczą mu rachunek w banku. Czasem na setki tysięcy złotych.

Korzystanie z dwóch numerów telefonów na dwóch aparatach jest niewygodne a podpięcie dwóch numerów telefonów na jeden aparat jest w większości przypadków niemożliwe (chociaż dzięki w Orange dzięki wsparciu dla eSIM pomału staje się to możliwe) albo niewystarczające.

Najlepszym rozwiązaniem póki co dla większości Polaków będzie skorzystanie z poniższych aplikacji mobilnych:

  • Google Voice (do aktywacji trzeba użyć VPN-a wychodzącego w USA, bo usługa nie jest dostępna w Polsce. Konto da się założyć przy użyciu NordVPN oraz po podaniu numeru VoIP z USA, wygenerowanego np. jedną z poniższych technik.)
  • MySudo (dostępna tylko dla posiadaczy iPhona, trzeba zmienić sklep na USA, pierwszy rok gratis)

  • 2nr (dostępna na iPhony i Androidy, ale nie wiemy na czym zarabiają jej twórcy, a niektóre zapisy w polityce prywatności mogą budzić zastrzeżenia — firma np. przyznaje, że “tworzy zestawienia i statystyki na potrzeby własne“, a dodatkowo wprost informuje, że po instalacji zbiera takie dane jak IMEI telefonu, adres IP, główny numer telefonu Użytkownika (!) oraz inne dane eksploatacyjne. Największym jednak minusem jest to, że aplikacja po 7 dniach “zabierze” Wam tymczasowy numer telefonu, jeśli go nie odnowicie. A zatem do powiadomień z paczkomatów/sklepu dostęp będą mieć inni użytkownicy aplikacji, którzy wylosują ten numer po Was — to w niektórych przypadkach może oznaczać możliwość resetu hasła do konta założonego przez numer z tej aplikacji. Trzeba o tym pamiętać, korzystając z 2nr.)

 

Są też opcje płatne, np. Skype, usługa Xtra Numer w Play czy też Ekstra numer w Orange albo różni dostawcy VoIP (i dowolna aplikacja typu SIP-Phone na telefon).

 

Powyższe aplikacje pozwalają Wam wybrać numer telefonu, czasem z prefiksem wielu różnych krajów. Rozmowy lub SMS-y kierowane na numery z aplikacji pojawią się w aplikacji, na telefonie. Zaleta? Kurierowi, sklepowi lub osobie z Tindera podajecie numer, który nie jest Waszym prawdziwym numerem, ale mimo to możecie za jego pomocą korespondować z innymi ludźmi (nie dotyczy aplikacji 2nr: po 7 dniach bez “ruchu” na numerze zostanie Wam on zabrany).

Dzięki temu, jeśli kiedyś taki “tymczasowy”, “jednozadaniowy” numer dla kuriera/sklepu wycieknie, to go po prostu zmienicie w aplikacji na inny. A przestępcy (i inne osoby, które będą miały dostęp do wykradzionych baz danych) nie będą znały Waszego prawdziwego numeru telefonu, co oznacza że zarówno nie będą Was nękać jak i nie będą w stanie przypuścić ataku na Wasze konta bankowe.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Dziękujemy wszystkim 587 osobom, które do momentu publikacji tego artykułu (od godziny 0:27) przesłało nam informacje w sprawie tego wycieku.

PS. Przyzwyczajcie się do wycieków. Będą się jeszcze zdarzały i będą coraz poważniejsze. Warto się wiec zawczasu zabezpieczyć.


Aktualizacja 18.12.2018, 20:37
Jak zauważył Karol Kopańko na łamach Spiders Web, Morele usunęło treść swojego komunikatu, który firma wydała miesi po pierwszych przypadkach fałszywych SMS-ów wyłudzających dopłatę 1PLN. Oto jak wyglądał oryginalny komunikat z listopada (zrobiliśmy wtedy tego screenshota):

Jak widzicie, padło w nim:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.

Firma wtedy rzeczywiście mogła tak myśleć. Ale im dalej w las, tym więcej drzew. 6 grudnia firma zaktualizowała ten komunikat i wtedy powyższy fragment o “braku winy” zniknął:

A dziś wpis na stronie Morele komunikat jest całkowicie nieosiągalny. Nie doszukujemy się w tych modyfikacjach spisku, raczej zwracamy uwagę na datę “zmian”. Może ona być kluczowa w śledztwie wykonywanym przez Morele.

Na marginesie, jeden z naszych Czytelników na naszym Facebooku, tak skomentował ten wyciek:

…a z nieoficjalnych informacji dowiedzieliśmy się, że problem kradzieży danych może dotyczyć ponad 2 milionów klientów Morele…


Aktualizacja 18.12.2018, 23:20
Morele tak pisze klientom o wykorzystywanym algorytmie funkcji skrótu.

Klasyczne security by obscurity… Podpowiemy tylko, że przestępcy nie mają problemu z ustaleniem rodzaju i łamaniem hashy :)


Aktualizacja 20.12.2018, 12:30
Ujawniła się jedna z osób, która wykradła dane z Morele. Ujawniła też historię “negocjacji” okupu. Ten niezwykle interesujący wątek opisujemy w kolejnym artykule pt. Czy z Morele dane wyciekły dwukrotnie?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

163 komentarzy

Dodaj komentarz
  1. No i super, tylko dlaczego po zalogowaniu się do Moreli nie ma wymuszenia zmiany hasła?

    • Hmmm, bo może nie każdy sobie tego życzy? Zostaw ludziom dowolność.
      Ja takie zachowanie uznał bym za wyjątkowo chamskie.

    • >Ja takie zachowanie uznał bym za wyjątkowo chamskie.

      Wydaje mi się, że bezpieczeństwo nieświadomych i nieznających się na “internetach” klientów jest ważniejsze niż twoje doznania estetyczne.

  2. A mnie rozbawiło to sformowanie, a później okropnie zasmuciło:

    “Przykro nam, że nasza znajomość, przyjaźń, a może i długoletni związek zostały wystawione na taką próbę”

    bo to dramat?
    Ja przyjaciół ani długoletnich związków nigdy nie zawieram z żadnym sklepem internetowym ani żadnym innym sklepem, firmą ani dostawcą.
    i wypraszam sobie.

    A jak jest z wami? Wy zawieracie?
    :) :) :)

    • Panie, marketoidzi to całkiem inna rasa ludzka, a może nawet nie ludzka.

  3. Jako że mam doświadczenie z obsługą zamówień w sklepie internetowym to od razu Wam powiem, że gdy operator widzi numer taki jak zasugerowaliście od ręki anuluje zamówienie – tak to działa w naszej firmie. Dodatkowo jeśli z jakiegoś powodu cokolwiek w danych adresowych budzi wątpliwości od razu wykonywany jest telefon do klienta – jeśli nie odbiera lub numer nie istnieje, zamówienie jest wstrzymywane do czasu ustalenia prawidłowych danych, a jeśli to nie jest możliwe – anulowane. Może dla sklepów pokroju Morele czy Empik nie ma to znaczenia – dla mniejszych sklepów zamówienia typu false są problematyczne – często ponoszą koszt wysyłki w obie strony wyższy niż hipotetyczny zysk ze sprzedaży. Od razu napiszę, że nie wysyłamy przez paczkomaty. Rozumiem, że dbacie o konsumenta (którym też sam oczywiście też jestem), ale przy zastosowaniu Waszych rad nic u nas byście nie zamówili – niestety. Podstawowe dane jak adres, imię i nazwisko, mail i telefon to podstawa. Jedynie przy rezerwacjach z odbiorem osobistym wymagamy tylko e-maila, bo tutaj niczym nie ryzykujemy…

    • To chyba tylko Wy tak robicie. Bo wszędzie gdzie kupuję ostatnio podaję 600123456 (sprawdziłem wcześniej że numer nieaktywny) i zamówienie przechodzi. Dziś jeśli coś jest opłacone, to jest wysyłane, niezależnie od danych. To nie ludzie patrzą na zamówienia, a roboty :)
      Chyba w bardzo małym sklepie pracujesz…

    • Grzegorz — naszą radą jest korzystanie z numerów VoIP. Kupilibyśmy u Ciebie, tak samo jak kupujemy w innych sklepach. Bez żadnych problemów raz przedstawiając się jako Mścisław a raz jako Idefons i za każdym razem podając inny numer z jednej ww. aplikacji. Podaj nazwę sklepu, może nawet coś kupimy na dowód, że nie wyłapiesz naszego zamówienia ;)

    • Oczywiście, że należy podawać swój numer kontaktowy, chociażby żeby kurier mógł się skontaktować :) Pamiętaj tylko na jakim portalu jesteś – grubi linuksiarze, z foliową czapeczką, co nawet PHP nie ogarniają (patrz stopkę – Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);)

    • Widzę, żę ani @Grzegorz ani @Ariel nie przeczytali artykułu do końca. Niebezpiecznik rekomenduje korzystanie z innego, w pełni działającego numeru, który można sobie wygenerować apką na telefonie. Jak niby pracownik sklepu ma rozpoznać, że coś jest nie tak, skoro numer działa i wygląda normalnie? Kurier też się dodzwoni.

      A Ariela witamy w gronie Czytelników. @Niebezpiecznik, który to już z kolei, który nabrał się na numer ze stopką?

    • Podawanie numeru telefonu jak zamawiamy przesyłką pocztową/paczkomatem i płacimy od razu jest nieporozumieniem. A jak sklep nie chce wysłać zapłaconego towaru tylko dlatego, że nie zna mojego numeru telefonu, to trzeba poszukać innego sklepu.

    • ” który to już z kolei, który nabrał się na numer ze stopką?”

      To się nigdy nie nudzi. Ta stopka jest po prostu genialna.

    • @Ariel, zgadzam się, że wcześniej czy później komuś trzeba zaufać. Do mnie kurierzy dzwonili, żeby zapytać o drogę lub powiadomić, że za chwilę będą. (nie chodzi o Morele tylko ogólnie o zakupy w Internecie)

      Nie chcę nic złego pisać, ale ponoć ogólna zasada jest taka, że jeśli ktoś straszy, to ma w tym interes.

    • Co to za brednie. Sklep dostał kasę, to wysyła towar i nic go nie interesuje, że zamawia Aleksander VI.

    • @Daniel
      “że wcześniej czy później komuś trzeba zaufać.”

      I wtedy – jak w oświadczeniu Morele – zawrzeć “znajomość, przyjaźń, a może i długoletni związek” :D(iksdeiksdeiksde)

    • > Oczywiście, że należy podawać swój numer kontaktowy, chociażby żeby kurier mógł się skontaktować :)

      Taa, jak często Ci się zdarza, że kurier się kontaktuje z Tobą w sprawie przesyłki? Bo u mnie było to zdecydowanie rzadziej niż częściej.

    • Ja od niedawna wszędzie podaje fejkowe dane, tzn. wymyślone imię i nazwisko, adres niby poprawna ulica ale numer już nie i jakiś nieaktywny numer telefonu. Jakoś nie ma problemów nie miałem. A jeśli u ciebie bym nic nie kupił to kupię gdzie indziej, żadna strata dla mnie :)

  4. A czy nie wystarczy usunąć z danego sklepu swojego adresu domowego (w przypadku wysyłki kurierem/pocztą) i numeru telefonu po realizacji zamówienia? Czy usunięty adres jest gdzieś zapisywany w sklepie?
    Sporo sklepów ma też opcję zrobienia zakupów bez konieczności rejestracji. A to chyba oznacza, że moje dane są nie są u nich zapisywane nigdzie na dłużej? Jak to jest, wiecie?

    • Adresy (co prawda nie dostawy) trafiają na faktury, a faktury sklep musi przechowywać. Skasowanie danych w sklepie pewno w niektórych wypadkach wystarczy, ale na pewno nie we wszystkich.

    • Ni niestety “usuinęcie” danych najprawdopodobniej nie wystarczy. Bo zazwyczaj polega to tylko na oznaczeniu, że klient nie chce już tych danych widzieć… ale dla celów różnych warto te dane dalej trzymać.
      Podobnie w przypadku danych “bez rejestracji” wszystkie dane które wpiszemy w ramach zamówienia systemy zapiszą jako szczegóły tego zamówienia i będą to trzymać wiele, wiele lat.
      Ostatecznie wszystko zależy od tego z którego miejsca nastąpi wyciek. Jeśli to jakieś WebAPI to pewnie skasowanie nas ochroni, bo napastnik dostanie tylko to co miało się wyświetlić na stronie (choć nie zawsze – kolega po fachu, który analizował appki banków wykrył że serwery przesyłały dużo danych klienta, których klient nie powinien zobaczyć i dopiero appka ich nie pokazywała). Jeśli wyciek nastąpi z bazy to poleci pewnie wszystko poza danymi płatności.

      Ostatecznie jedyną drogą jest uczynić kary za przechowywanie nadmiarowych danych naprawdę dotkliwymi, tak żeby wszyscy się 10 razy zastanowili czy faktycznie trzeba poprosić o imię, nazwisko czy adres, bo może email wystarczy.

    • Sklep dane klientów może przechowywać nawet kilkanaście lat, wystarczy tylko raz być klientem, mało komu się chce czyścić stare bazy.

  5. A czy sklepy nie mogłyby pytać o numer telefonu każdorazowo przY zamówieniu, zamiast trzymać te dane ?

    • Podpisuję się pod pytaniem. Logika podpowiada, że miałoby to sens

  6. Several people answered this question wrong. It’s not enough to just have a US based IP address through a VPN service to set up a Google Voice account because Google also verifies that you have a valid US based phone number where the calls will be forwarded.

    • ekhm, ekhm, mysudo, ekhm.

    • Sudo is not free. :(

    • Czyli mam mieć google voice, który mi przekieruje na sudo, który przekieruje na mnie?
      Nie za dużo kombinowania?

    • GVoice nie musi Cię nigdzie przekierowywać.

  7. Czy za takie wycieki można dochodzić sie odszkodowań? Czy ktoś próbował? Mam dość ciągłych wycieków za które sklep w praktyce nie ma żadnych przykrych konsekwencji…

    • Raczej musiałbyś w jakiś pozew zbiorowy wejść, bo tak to wydasz 10 tysięcy na adwokata, a wygrasz np. 500zł.

    • Odszkodowanie? Chyba ze udowodnisz konkretny przypadek wykorzystania Twoich danych i to właśnie za sprawą wycieku np. z Morele – ale udowodnij ze to nie np z x-ko* ;) Chyba zbyt surowo do tego podchodzisz. Ja wiem, ze taki wyciek to przykra sprawa i budzi w ludziach strach, ale dla nawet dużego sklepu każdy taki wyciek to byłby koniec interesu i zwijanie firmy. Wyobraź sobie teraz bazę Morele, 2mln Klientów i każdy chciałby ładną sumkę na konto. No WAY!

    • Jesli potrafisz udowodnic swoja szkode to idz do sadu. W tym przypadku Morele nie wiedza czy ktos uzyskal dostep do twoich danych.

    • Tak, można, oczywiście zgodnie z podstawowa zasadą z k.c.: w granicach poniesionej przez ciebie szkody (straty + nieosiągnięte korzyści), czyli tylko wtedy, gdy wyciek wywołał wobec twojej osoby realne konsekwencje, wskutek których Twój majątek doznał uszczerbku. Dodam, że za uczucie “mania dość” nie dostaniesz niestety ani złotówki, zresztą słusznie, bo z jakiej paki miałbyś zarabiać na wpadkach innych tylko dlatego, że masz gorsze samopoczucie?

      Oczywiście jeśli wskutek wycieku cię okradną (i będziesz w stanie wykazać lub odpowiednio uprawdopodobnić związek między ww. zdarzeniami) to co innego. Jest szkoda, jest więc prawo do odszkodowania.

      Odszkodowanie co do zasady pełni tylko funkcję kompensacyjną. Funkcję odstraszającą w kontekście tzw. wycieków pełni kara administracyjna, jaką na administratora może nałożyć stosowny organ państwowy – tu: GIODO – stwierdziwszy, iż dopuścił się on naruszeń, jednak nie ty będziesz beneficjentem tej kary, tylko budżet Państwa.

  8. To co ja teraz mogę zrobić, jeśli moje nazwisko, imię i email już wyciekły?

    • Zmienić imie, nazwisko i email ;).

  9. “Korzystanie z dwóch numerów telefonów na dwóch aparatach jest niewygodne a podpięcie dwóch numerów telefonów na jeden aparat jest w większości przypadków niemożliwe (chociaż dzięki w Orange dzięki wsparciu dla eSIM pomału staje się to możliwe).”

    Nie przesadzacie z tutaj trochę?
    A telefony Dual-Sim?
    Śmiem zaryzykować stwierdzenie, że obecnie większość telefonów (nawet “dziadko-fony” czy feature-phony) posiada dwa gniazda na kartę sim, a o “zwykłych” smartfonach nawet nie wspominam.
    Ok, dual sim zdaje się jeszcze nie został przez Apple “odkryty” ale żeby od razu pisać, że jest to w większości przypadków niemożliwe?

    • No właśnie rzadko dual SIM jest stosowany w smartfonach, bo dwie karty to dwa zasięgi, więc również większe zużycie prądu.

      Dual SIM częściej jest stosowany we współczesnych modelach komórek.

    • Bardzo dużo urządzeń posiadaj slot podwójny Tfcard/SIM-2 – czyli, można tam włożyć kartę SD *lub* drugą kartę sim. Zgadzam się, iż Redaktorstwo za bardzo zapatrzone w “jabola”, by dostrzec, że to już w zasadzie standard.

      Niemniej, trudno nie przyznać racji, iż numer SIP jest wygodniejszy od drugiej karty sim (dostępne “za darmo” z kierunkowymi niemal każdego państwa, wystarczy poszukać). I to bym polecał, zamiast kombinowanie z google voice czy innymi cudami.

  10. Szczerze, to ten styl ataku tj sms po kupnie wygląda tak jakby ktoś im po prostu w kodzie dorzucił takiego backdoora cwanego a że nie mogą się dokopać kto to wrzucił to znaczy że nie mają żadnego systemu kontroli wersji i ktoś po prostu na ftpie sobie zmienił kod XDDDD

    • Nawet jeśli mają system kontroli wersji, to nie przeszkadza to w niczym wykonaniu ręcznej modyfikacji na serwerze. A jeśli nie mogą się dokopać, kto, to oznacza włam na serwer/dostęp do serwera przez zbyt dużą liczbę osób/praktykę typu 15 osób na 1 loginie…

  11. Żeby było śmieszniej, w komunikacie na budujesz.pl jest link do zmiany hasła na morelach :( https://www.budujesz.pl/wiadomosc/informacja-od-grupy-morele-na-temat-bezpieczenstwa/12811/

    • Bo to ta sama strona, baza i sklep.

  12. Poinformowałbym GIODO, ale tam sobie każą płacić za każde zgłoszenie wycieku danych, więc lipa.

    • ???
      ja już jestem na emeryturze i nigdy nie wymagałem płatności za zgłoszenie,
      a szkoda bo mimo wszystko miałbym teraz niezłe fundusze na tą emeryturkę :P

    • Nie GIODO a UODO i nic nie karzą. Ja dzisiaj zgłosiłem przez ePUAP

  13. Kiedyś kupowałem coś u nich ale odbierałem i płaciłem na miejscu, w ramach “testu” zalogowałem się i okazało się, że zakupy dokonywałem w …… 2012r. i tu pytanie: Czy sklep nie powinien weryfikować “starych nie używanych” kont ( brak logowania przez rok ) z przypomnieniem np: o zmianę hasła, i czy konto będzie nadal używane itp ?. Obecnie to w wielu przypadkach może wyglądać jak “nadmiarowe przechowywanie danych”.

    • Rok to troche za krutko.
      Ale masz racje. Milo by bylo gdyby chociaz raz na 5 lat konta przypomnialyby nam o sobie. Tylko ze jesli uzytkownik stracil email lub zmienil lub nie ma czasu to i tak mu to nie pomoze.
      Moral z tego: Uzytkownik sam musi pilowac gdzie ma konta i kiedy zmienial haslo i jakie dane podal.

  14. A dzisiaj podczas odbierania zamówień nawet o dokument potwierdzający tożsamość się nie zapytali.. teoretycznie ktoś mógł sobie podejrzeć, wbić w okienku numer zamówienia, odpowiedzieć na pytanie pracownika o adres mailowy i odebrać bez problemu

  15. Przepraszam ale rada aby podawać numer telefonu 48000000000 jest bynajmniej niepoważna. Takie działanie może powodować wiele problemów.

    • Podawanie prawdziwego numeru jak widać również może powodować wiele problemów. I bądź tu mądry :)

    • Dlatego jest druga połowa artykułu :)

  16. A co jeśli logowałem się przez facebooka? :)

    • To twoje dane są dawno sprzedane i nie są (i nie były) Twoje w momencie wycieku ;)

  17. Zdarzyło mi się, że pod świeżo kupiony prepaidowy numer telefonu zadzwonił ktoś zajmujący się windykacją poszukujący konkretnej osoby. Miało to miejsce przed obowiązkiem rejestracji numerów. Jeśli nie był to oszust szukający ofiar, można przypuszczać, że operatorzy przydzielają nieaktywne numery telefonów nowym klientom. Jeśli tak jest, to proponowane rozwiązanie z zakupem nieaktywnego i niezarejestrowanego startera może zakończyć się oddaniem komuś dostępu do (między innymi) swoich przesyłek w paczkomatach.

    • Nie do końca. Tu nie chodzi żeby ktoś nie próbował dzwonić na numer który leży w Twojej szufladzie… ale żeby nikt go nie odbierał. Dlatego masz go kupić i **nie aktywować**. Jeśli go aktywujesz i przestaniesz płacić to go stracisz i wróci na rynek. Jeśli go nie aktywujesz to operator nie będzie go mógł ponownie użyć, bo z jego perspektywy któryś z detalicznych sprzedawców ma go na półce i może go w każdej chwili sprzedać, więc numer musi być gotowy do pracy.

    • O ile mi wiadomo startery mają terminy ważności. Możliwe, że nie wszystkie. Jeśli numer nie zostanie aktywowany przed upływam takiego terminu, operator może go sprzedać komuś innemu.

    • Tak właśnie jest – numery wracają. Ja sobie kupiłem wiosną fajny numer, ale dzwonią do mnie oszuści z Piaseczna i Urząd Skarbowy z Piaseczna i ruch na tym numerze koszmarny :( A operator potwierdza, że w 2015 ten numer miał ktoś z Piaseczna.

      A startery nieaktywowane mają właśnie datę ważności, więc numer też wróci.

  18. Warto wspomnieć, że chodzi o całą grupę morele. Ja dostałem informacje na maile zarejestrowane w hulahop.pl oraz digitalo.pl

  19. Jak to korzystając z paczkomatu nie muszę podawać numeru telefonu? Przecież, to pierwsze o co mnie pyta paczkomat.

    • Podać jakiś musisz. Nie musi to być Twój numer.

    • Żeby odebrać paczkę potrzebujesz podać w paczkomacie dwie rzeczy: 1) numer telefonu i 2) kod odbioru.

      Kod odbioru przychodzi na maila i na telefon. Więc łatwiej założyć fejkowego maila i go podać niż specjalnie rejestrować nowy numer. Numer możesz dać jaki chcesz, np. same zera i to nie ma znaczenia, póki oczywiście wpiszesz go przy odbiorze paczki razem z kodem.

  20. “Korzystanie z dwóch numerów telefonów na dwóch aparatach jest niewygodne a podpięcie dwóch numerów telefonów na jeden aparat jest w większości przypadków niemożliwe ”

    E… chyba większość telefonów, jakie teraz są w sprzedaży, ma dual SIM.

    Fakt, że często jako zamienny z kartą pamięci (tj. jest jeden slot, na SIM lub na micro SD do wyboru – ciekawe, skąd decyzja o zastosowaniu takiego rozwiązania, przecież to dwie kompletnie różne rzeczy i i tak muszą być dwa osobne zestawy elektroniki do jednego i do drugiego…).

    • Przecież do hybrydowego slotu microSD/microsim można włożyć i używać na raz karty pamięci i sim

  21. Dzisiaj się pożegnałem z Morele.net bez żalu. Konto skasowane – dane od nich wyciekały już od początku roku, mnóstwo spamu z tego powodu się pojawiło. Może się pokłócili z kimś komu zlecili po taniości stworzenie i/lub obsługę IT sklepu i postanowił to jakoś sobie wyrównać.

  22. Z zainteresowaniem przeczytałem art. być może dlatego że jestem klientem morele… ;-)
    Zaciekawił mnie wątek z google voice. Niestety zatrzymałem się na weryfikacji istniejącego numeru który musi (?) być z USA… jest na to jakiś pomysł?

    • Mysudo ale wymaga iphona … innego pomysłu brak

    • No ja tez sie na tym zatrzymałem, pytanie czy to tylko do weryfikacji (wtedy można jednorazowo użyć jakiś numer) czy na stale do forwardowania (wtedy to juz bez sensu).

    • Jak wskazano w txt’cie:
      użyj VPN’a

  23. Hehe, Ci kre..ni napisali w mailu, że…

    “Jakie podjęliśmy kroki?
    Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.”

    Wchodze na strone pierwszy raz od pół roku, zostałem automatycznie zalogowany, zapewne jakimś przestarzałym ciastkiem sesyjnym albo syfem pozostawionym w web storage.

    Ciekaw jestem, na czym polegają te ich środki… podejrzewam, że to mydlenie oczu, żeby nie dostać po pi*dzie w szale zakupów przedświątecznych.

  24. Ogólnie morele to dramat. Raz naprawiali mi przez 3 miesiące płytę główną po czym przysłali ją w dokładanie takim samym stanie jak wysłałem, a teraz jeszcze ten wyciek.

    Pytanie czy osoby które miału podpięte numery telefony też dziś dostały głuchy telefon z numeru 506 i wiadomości sieciową o leasingu.

  25. 2018-08-07: “Jeszcze w tym tygodniu opublikujemy opis tego, jak kilka razy w różnych salonach próbowaliśmy wyrobić, w sposób nieautoryzowany, duplikat czyjejś karty SIM (spoiler: udało nam się).”
    Czy mnie to ominęło?

  26. Kiedy dokładnie był ten wyciek, a raczej – Lordy udało się go zablokować? Pytam, bo konto na morele założyłam na początku grudnia.

  27. Czy wiadomo kiedy konkretnie skończył się ten wyciek? Pytam, bo założyłam tam konto na początku grudnia.

  28. Gdzie można sprawdzić jakie moje dane wyciekły?

  29. Ostatnio otrzymałem 3 SMSy od Google z kodem autoryzacji.
    Prefiksy +31 i +41 i jedno od nadawcy ‘Google’.
    Czy z Google też dane wyciekły?

    • Nic mi o tym niewiadomo, ale najpewniej ktoś próbował się logować na twoje konto podając prawdziwy e-mail oraz hasło. SMS’y od Google przychodzą z różnych numerów, gdyż tak im wychodzi taniej.

  30. Gdzie można sprawdzić jakie moje dane wyciekły?

    PS. Naciskam post comment a on się nie pojawia to już któryś raz….

  31. Hmmm, jak się okazuję kupowałem coś na morelach 3-4 lata temu, jednak nie widzę w mailach żebym zakładał tam jakieś konto, czy orientuje się ktoś żeby na morelach była kiedyś opcja kupowania bez konta?

    • Sprawdź, czy nie kupiłeś tego czegoś na Allegro. Od użytkownika Morele. ;)

  32. Może by tak jakaś bonifikata od sklepu chociaż?
    Przy okazji, czy początek wycieku nie zgrywa się w czasie z nowym “redesignem” strony?

  33. Patent z nieaktywowaną kartą SIM że stacji benzynowej nie do końca ok. Każda starter ma datę ważności, po jej przekroczeniu numer na bank trafi do sprzedaży. I wtedy robimy niezłe kuku nowemu właścicielowi numeru….

    • No to kupujesz kolejny co n m-cy. A “kuku” nikomu nie robimy – bo niby czym? Każdy kupujący powinien się liczyć z tym że jego numer jest gdzieś używany. A dzięki RODO może go “usunąć” z systemów nadawcy.

    • Chyba wszystkie już numery ze starymi prefiksami są z odzysku. Na zakupiony w sklepie nowiutki starter od samego początku co chwilę wydzwaniała i nagrywała się na pocztę głosową firma KRUK S.A. prosząc o pilny kontakt “w ważnej sprawie finansowej”! :)

  34. Wasz system komentarzy jest niebezpieczny. Komunikat “Your email will not be published.” sugeruje że nikt nie pozna naszego maila, a jednak jak podamy swojego maila którego używamy również gdzie indziej to system komentarzy sam pobierze avatar zapewne z serwisu gravatar. Jak mamy unikatowy to ktoś nas łatwo skojarzy.

    • A co to takiego jest ten “Gravatar” ….?
      ;) ;P
      Nie każdy o unikatowym nawet i nicku – odczuwa zaraz nieprzepartą chęć żeby się jakoś “wyróżniać” czy inaczej lansować …

      P.S. już bardziej czasem po stylu pisania i innych sieciowych nawykach, ale o tym zdaje się był osobny artykuł na nbzp :)

    • To cena chęci wyróżnienia się, im bardziej wystajesz tym łatwiej cię ściąć. Deal with it.

  35. Jest jeszcze inny, równie prosty i skuteczny sposób. W zasadzie każdy z nas ma w domu nieużywany telefon, często to “bezpieczny” staroć bez dostępu do internetu. Kupujemy do niego starter pre-paid, na którym uruchamiamy usługę “rok ważności” konta albo podobną. I mamy w pełni funkcjonalny telefon, którego możemy używać do tego typu operacji.

    • Tak, ale to wymaga rejestracji numeru u operatora na nasze prawdziwe dane, więc kolejna instytucja, z której potencjalnie mogą wyciec nasze dane.

  36. Droga Redakcji,
    Wasz żółty obrazek pt. “nie ufaj nikomu” jest bardzo słuszny.

    Ale dotyczy on też szpitali, policji i innych systemów państwowych. Z nich też ciekną dane, zwłaszcza ze szpitali.

    I pytam zupełnie poważnie: czy coś możemy zrobić, żeby dane np. medyczne Polaków były bezpieczne? Bo nie są. Na własne oczy widziałem lekarzy prowadzących dokumentację medyczną w polskim szpitalu na nieaktualizowanym od lat Windows XP, podłączonym stale do Internetu, na którym załatwiają też swoje osobiste sprawy w Internecie.

    • Ciesz się, że boisz sie tylko wycieku. być może nasz system ze względu na pewną nienowoczesność jest przez to bezpieczniejszy. Brytyjski NHS w świetle dnia sprzedaje dane pacjentów ubezpieczycielom Niby zanonimizowane, ale ciekawe ile danych potrzeba zebrać, żeby je odanonimizować.

    • Interesująca kwestia. Ale zastanawia mnie – z czystej ciekawości, jestem osobą o dość… bogatej historii choroby – czy poza wyciekiem podstawowych wrażliwych danych typu imię, nazwisko, PESEL, ktoś może zrobić nam kuku historią choroby? W jaki sposób?

    • @Inga. Ubezpieczalnia, bank, pożyczkomat itd kupuje dane zdrowotne. Chcesz od nich produkt – pożyczkę, ubezpieczenie, cokolwiek innego ale masz wysokie ryzyko nawrotu choroby, powikłań itp. Stawki automatycznie windują w górę albo nie dostajesz kredytu bo algorytm wyliczył, że nie zdążysz spłacić…

    • > jestem osobą o dość… bogatej historii choroby – czy poza wyciekiem
      > podstawowych wrażliwych danych typu imię, nazwisko, PESEL, ktoś
      > może zrobić nam kuku historią choroby? W jaki sposób?

      Imię, nazwisko, PESEL i adres to nie są dane wrażliwe. To zwykłe dane osobowe. Oczywiście trzeba je chronić – ale nie są wrażliwe.

      To czy można zrobić Tobie kuku czy nie to już inna kwestia. SAM FAKT, że ze szpitala wyciekną JAKIEKOLWIEK informacje o Tobie, jest godny najwyższego potępienia. To jest potężne nadużycie zaufania pacjentów przez pracowników szpitala, którzy ponoszą winę za to, że wpisują dane pacjentów do niezabezpieczonych systemów.

      Jeżeli nie potrafią ich zabezpieczyć, należy z nich nie korzystać – zasada brutalna, ale słuszna.

      Tajemnicę lekarską i tajemnicę zawodu pielęgniarki należy chronić nie tylko przez milczenie lekarzy i pielęgniarek na Twój temat. To także sroga ochrona danych medycznych – niezależnie od tego czy są na kartkach, czy na dyskach szpitalnych komputerów. A te ostatnie są po prostu w przerażający sposób niezabezpieczone. I nie są to prymitywne systemy: o wiele lepszy byłby niepodłączony do Internetu komputer z DOS-em niż nieustannie podłączony do Internetu, niezałatany, Windows 7, Windows 10 czy XP, często bez firewalla i antywirusa nawet.

  37. Ciekawe czy wyciekły zakupione nr licencji cyfrowych – dostępne po zalogowaniu pod tym adresem:
    https://www.morele.net/profil/moje-licencje/

  38. Dopiero teraz dociera do mnie jak świetny jest pomysł z logowaniem się jednym kontem do wszystkiego. Ułatwienie dla wszystkich trzech stron. Nic dodać nic ująć.

    • Ten pomysł z jednym kontem do wszystkiego jest dobry do momentu, gdy ktoś nie włamie się na takie konto.

    • @MegaMan – a jak myślisz, kto jest “trzecią stroną” w komentarzu drafta? >]

  39. Szanowna Redakcjo,
    Warto może wspomnieć o takiej usłudze w Play: https://www.play.pl/uslugi/xtra-numer/

  40. “(…) W przypadku reklamacji potrzebny jest paragon (i/lub dowód zapłaty) (…)” – Szanowna Redakcjo – paragon/faktura/dowód zapłaty jedynie UŁATWIA złożenie reklamacji i NIE JEST wymagany. Żaden sklep nie ma prawa od tego uzależniać przyjęcia reklamacji (polecam lekturze ostatnie nowelizacje stosownej ustawy :-) ).

  41. a mnie interesuje tylko jak doszlo do wycieku, co bylo jego zrodlem i kto za nim stoi i moze dlaczego firmy sa same w sciagniu przestepcow, w tym wypadku spracow tego wlamania

    • Sprawcy zapewne mieli wyzsze kwalifikacje niz Armagd0n i dzialali uzywajac VPN/Proxy/TORa majac IP z Wietnamu, Rosji, Brazylii, RPA czy Chin. Morele dlugo nie wiedzialy co sie dzieje i nie znaja zakresu ataku wiec istnieje szansa, ze nawet nie znaja IP sprawcow.

  42. Ja przy tej okazji zauważyłem, że po kiego grzyba praktycznie wszystkie sklepy internetowe WYMUSZAJĄ podanie adresu już przy zakładaniu konta, albo też wymagają go przy każdym zamówieniu – NAWET jeśli odbiór jest osobisty lub do paczkomatu.
    Adres zamieszkania czy pracy powinien być potrzebny tylko wtedy, jeśli została zlecona tam wysyłka towaru.

    • Właśnie Morele chyba nie wymusza, albo nie wymuszało gdy ja zamawiałem miesiące temu. Zawsze odbierałem graty z ich punktu, a na moim koncie jest podany tylko mail i telefon.

  43. Swoją drogą ktoś szybko pracuje. Mail z ostrzeżeniem miałem na skrzynce o 4 rano, a listę niezapłaconych faktur z linkiem to tychże przed 22. Wywaliłem od razu. Nie kupowałem u nich od lat, zresetowałem hasło i usunąłem konto. Chyba najbezpieczniejsza opcja.

  44. Proponujecie kupić starter dowolnej sieci za 5 zł i go nie rejestrować żeby mieć taki alternatywny nr telefonu. Wszystko fajnie, ale jeśli starter nie zostanie zarejestrowany, to numer nie będzie aktywny.

    • Przeczytaj jeszcze raz.
      Nie chodziło o to, żeby numer był aktywny. Chodziło o to, żeby podać jakiś numer telefonu, którego na pewno nikt nie używa.

    • Proponuje przywiezc sobie starter z UK. Nie potrzeba sie rejestrowac, a nr telefonu przyznwany jest dopiero po pierwszym zalogowaniu sie do sieci.

  45. Ponawiam pytanie zadane wyżej przez Dawida, co jeśli logowałem się przez Facebooka? Widzę że mam ustawione jakieś hasło (+ loginem jest e-mail w Facebooku), ale ja nigdy żadnego hasła nie ustawiałem, po prostu klikam Zaloguj przez Facebooka. Na jakiej zasadzie morele.net autoryzuje userów logujących się przez Facebooka?

    • https://pl.wikipedia.org/wiki/OAuth

    • A przypadkiem nie za pomocą protokołu OAuth?

    • Wyślij zapytanie do administratora swoich danych – Morele.net

    • Oauth.
      Czyli morele dostaje tylko jednorazowy token, a nie hasło czy inne cudawianki.
      Zapewne przy pierwszym logowaniu tworzone jest w Morele.net konto o analogicznym adresie e-mail z losowym hasłem (które tak naprawdę jest “nie do ustalenia” o ile faktycznie je odpowiednio hashują). Hasło możesz zresetować i ustawić własne. Wówczas będziesz mógł logować się do konta zarówno przez OAuth, jak i loginem i hasłem.

  46. Podanie błędnego numeru telefonu to spory problem. Pracuję przy obsłudze sklepu internetowego. Czasem zdaźy się że potrzebuje szybkiego kontaktu z klientem. Bo na stronie coś ma zieloną obudowę, a na magazynie jest niebieską. Bo wybrany paczkomat jest akurat niesprawny. Itp itd. I w takiej sytuacji szybki telefon do klienta. Jak nie odbiera to SMS z informacją. Jak mu zależy to szybko oddzwoni, od pisze i paczka wychodzi tego samego dnia. Jak nie… to paczka czeka… I zazwyczaj dopiero po kilku dniach ktoś napiszę miała. A to dlatego że telefon jest szybszy – w 3 minuty sprawa załatwiona. A miała ludzie odbierają często dopiero po pracy.

  47. Warto dodać, że przy płatności kartą, jeśli dane na karcie nie zgadzają się z tymi podanymi w formularzu, to w niektórych serwisach transakcja zostanie odrzucona przez sklep, ale pieniądze na karcie kredytowej zostaną zablokowane i trzeba się paprać w odzyskanie. Polecam kupić bilet w Cinema City na fałszywe dane;)

  48. U mnie próba logowania odbyła się dzisiaj o 6 rano, na szczęście mam ustawione logowanie dwuskladnikowe i zatrzymało się na smsie.

  49. Mniej więcej w tym samym czasie co maila z Moreli, dostałem też info od eBay, że ktoś próbował założyć konto na mojego maila. Jak żyć? Zgłosić to gdzieś?

    • Podpinam się pod pytanie

  50. Nie bierzecie pod uwagę jednego. Jak ktoś prowadzi działalność i chce fakturę za przykładowo kupiony dysk twardy w Morele to i tak dane do faktury podać musiał, nawet jak idzie paczkomatem. Dane mojej firmy wiec pewnie wyciekły, choć i tak są publicznie dostępne w CEIDG. Hasło miałem długie, skomplikowane i generowane losowo wiec mogą sobie przestępcy wsadzić w 4 litery bo nigdzie się ono nie powtarza.

    Poza tym wszystko jest kwestią wygody. Osobiście wolę podać prywatny numer telefonu bo czasem dopiero późnym popołudniem otrzymuję SMSa o paczce na którą czekam a maila firmowego po godzinach nie sprawdzam. Paczkomat mam 400 m od domu i mogę sobie zawsze wyskoczyć po paczkę. Tak o paczce dowiedziałbym się dopiero rano w biurze.

    A z drugiej strony jakie w moim przypadku jest ryzyko związane z wyciekiem numeru telefonu? Jestem świadomy i nie daje się nabrać na telefony z socjotechniką, nie używam na tym numerze żadnej aplikacji bankowej, ba nawet telefon jest zwykły ( nie smarftfon) a po wszelkich telekonsultantach jadę jak po burej suce a szczególnie upierdliwych (+wszystkich od zaproszeń na prezentację) od razu zgłąszam do UKE / UOKIK / UODO (już nawet klika postępowań wszczęli z mojej inicjatywy).

  51. nr2 zarabia na stawkach interConnect
    https://pl.wikipedia.org/wiki/Interconnect
    https://pl.wikipedia.org/wiki/Mobile_Termination_Rate

    Dlatego nie można dzwonić z nr2 do innych, bo w tedy tracą zarobek. A przydłużenie numeru polega na wysłaniu SMSa na virtualny numer, w ten sposób opłaca się abonament za utrzymanie numeru (mimo iż Ciebie to nie kosztuje, bo pewnie z operatorem masz umowę NO LIMIT SMS, to Twój operator musi zapłacić stawkę interConnect dla nr2 w momencie pchnięcia SMSa do ich sieci).
    Analogiczna sprawa jest z połączeniem głosowym, na czym głównie zarabiają (a przynajmniej taka jest oficjalna wersja)

  52. No nieładnie tak Playa i ich Xtra Number reklamować z pominięciem konkurencji. ;)
    Orange ma podobną usługę, moim zdaniem lepiej zaimplementowaną:
    https://www.orange.pl/kid,4000377334,id,4000377405,title,Orange-Ekstra-Numer,article.html

    • Dzięki – dopisujemy. Nie byliśmy jej świadomi.

  53. Obstawiam że przyczyną jest najsłabsze ogniwo. Zatrudnienie studenciaka który wkurzony niską pensja klepał lewe wezwania do zapłaty zaraz po zamówieniu (akcja z listopada), a później wyprowadził całą bazę danych.

  54. Niebezpiecznik nie odrobil zdania domowego. Poleca Google Voice ktorego sie na da aktywowac bez amerykanskiego numer tel a w Polsce mamy takie uslugi znanych telekomów:
    Orange Ekstra numer https://www.orange.pl/en
    Play Xtra numer https://www.play.pl/uslugi/xtra-numer/

    Ktos wie czy TMobile oferuje cos podobnego?

    • Paweł nie doczytał artykułu :) O Play Xtra jest informacja. O tym jak aktywować GVoice też.

    • Google search na niebezpieczniku znajduje tylko “Google Voice (do aktywacji trzeba użyć VPN-a wychodzącego w USA, bo usługa nie jest dostępna w Polsce. Konto da się założyć przy użyciu NordVPN oraz po podaniu numeru VoIP z USA, wygenerowanego np. jedną z poniższych technik.)” no to trochę słabe wyjaśnienie jeśli nie ma opisanych poniższych technik. Co do Orange Ekstra Numer to działa tylko na starych abonamentach :-( Nie wiem czemu wylaczaja tę usluge.

  55. “Klasyczne security by obscurity… Podpowiemy tylko, że przestępcy nie mają problemu z ustaleniem rodzaju i łamaniem hashy :)”

    55c3b5386c486feb662a0785f340938f518d547f

    ok co to za hash kto się wykaże ?

    • A może mają zabezpieczone hasła za pomocą:
      soli, pieprzu, może papryki i np chili :)

    • md5 a potem sha-1 (z ‘password’)

  56. “acie gwarancję, że z tego numeru ze startera nikt inny nie korzysta, więc możecie go spokojnie podawać. ”

    dopóki operator nie dojdzie do wniosku ze numer nie aktywowany wraca do puli. Generalnie slaby pomysl. To juz lepiej miec osobny numer w jakiejs sieci gdzie waznosc konta za 5zl przedluza sie na rok …. choc akurat ten hint z paczkomatem uwazam za slaby. Wole jednak miec tego smsa na swoim numerze paranoja paranoja ale jakas wygoda tez musi byc.

    P.S. dlaczego wymagacie emaila przy pisaniu komentarza? ;-)

    • To jest chyba jasne, że po dacie ważności zmieniasz na inny, jeśli wybierasz tę metodę. My polecamy VoIP.

    • wymagają i?
      rozumiem, że regulamin czytałeś? :)
      i np. z ciekawości zerknąłeś na link do formularza kontaktowego np. w sprawie wyjaśnienia “błędnego” niezakwalifikowania twojego komentarza do zaprezentowania na stronie niebezpiecznika :)

  57. Widzę, że pytanie już padło ale nadal brak odpowiedzi. Co z danymi Klienta kiedy ten loguje się do strony poprzez zewnętrzne konto np. Facebook lub Google. Jak wygląda wymiana oraz autoryzacja danych klienta między serwisami, czy są one tylko fizycznie przechowywane na serwisach zewnętrznych czy jeszcze przepisywane do bazy serwisu głównego (np. morele.pl). No i na koniec co sądzicie o bezpieczeństwie takiej formy logowania?

    • Popatrz o jakie uprawnienia prosi serwis, kiedy logujesz się do Facebooka (jest informacja do czego będą mieli dostęp, załóż że wszystko to trzymają w swojej bazie – nie muszą, ale z drugiej stronie nie wiesz co biorą, więc przyjmij najszerszy scenariusz)

  58. Zastanawia mnie jedna rzecz. Dlaczego ja nie dostałem jeszcze wiadomości informacyjnej od Morele chociaż mam tam konto od dłuższego czasu? Może informują ludzi losowo wybranych?

  59. Niestety dane poszły na rynek. I mi się dostało telefonem z loanme.pl
    Firma dzwoni z https://www.ktoto.info/numer/799598924/

    • Potwierdzam. Spam telefoniczny zaczął się w moim przypadku 30 września tego roku.

  60. Jak się zarejestrować w Google Voice? Google przy rejestracji żąda drugiego numeru zarejestrowanego w USA

  61. Zatem pora się pożegnać z morelami. Skasowałem konto, korzystam z Waszych cennych rad i pozmieniałem dane w sklepach, z których korzystam, warto wchodzić na niebezpiecznika, sporo można się tu nauczyć :)

  62. Jeśli hasła w bazie były hashowane, a na pewno były (tak twierdzi morele) to nie ma fizycznej możliwości jego rozkodowania w związku z czym zmiana hasła prowadzi tylko do uspokojenia “nieświadomych użytkowników”

    • Serio? Co Ty nie powiesz. To na rynku konsumenckim jest JAKIKOLWIEK algorytm gwarantujacy poufnosc informacji? Dobrze wiedziec!

    • Dzis na wykopie pojawily sie zlamane hasla, wygladaja na slownikowe.

  63. Z tymi telefonami to nie jest dobry pomysł.
    Np. paczkomaty – jak nie masz aktywnego telefonu, to nie odbierzesz przesyłki, bo są paczkomaty mobilne i informacja o przesyłce jest wysyłana wyłącznie sms’em. Dodajmy do tego, że część emaili trafia do spamu, sms jest nadal pewniejszy.
    Jak coś się stanie z paczką na poczcie to dzwonią do adresata. Jak nie ma takiego telefonu to paczka albo wraca do nadawcy albo trafia do Koluszek.
    A podawanie innych danych np. przy paczkomatach może spowodować, że odbiorca nie otrzyma przesyłki. Bo np. paczka trafi do punktu, a tam już trzeba udowodnić, że jest się odbiorcą i numer telefonu nie wystarcza.

  64. Moim zdaniem trochę w tym nagonki przedświątecznej, nie mogę uwierzyć, że dane klientów były tak łatwo dostępne. #szok

  65. Straszna amatorka. znullowany phpmyadmin.
    Sklep zachował się źle, widać, że brakuje protokołów bezpieczeństwa w firmie.
    pozdrawiam, Rosankiewicz Jacek

    • znaczy co?
      Myślisz, że złożyć im ofertę na wdrożenie np. 27K i przy okazji RODO, bo się u nich zbytnio nie przyjęło?
      a moze na poczatek audyt i jakieś pentesty? :)

  66. “Klasyczne security by obscurity… Podpowiemy tylko, że przestępcy nie mają problemu z ustaleniem rodzaju i łamaniem hashy :)”

    Hasel nie szyfruje sie haszami.

    • Szyfrowanie to uproszenie, które można zrozumieć w komunikacji dla ZU.

  67. Moja przygoda z tym sklepem została zakończona. Konto usunięte. Gdyby napisali wcześniej bez owijania w bawełnę byłoby ok.

  68. Ja stawiam na obrót gotówkowy i zakupy w placówce handlowej – jak za dawnych lat. ;)

    • tak trzymać,
      żadnych faktur, rachunków, gwarancji zwrotu. Paragony trzymać w nie przeźroczystych opakowaniach.
      jestem za a nawet przeciw. :)

      powodzenia życzę ;)

    • ….żadnych uszkodzonych paczek i wybrakowanych prezentów które dochodzą na dzień przed wigilią kiedy już nic nie można z tym zrobić…. żadnych zmęczonych kurierów którzy nie wyrabiają się (bo i mają zleceń nad miarę) i zamiast kontaktu do klienta odstawiają paczkę do “najbliższego punktu x” wcale nie informując o tym ani wysyłającego ani adresata… Rekordowa, w moim przypadku, paczka przyszła do mnie po kilku tygodniach, kiedy to cała zawartość była dawno zepsuta i niezdatna do spożycia. Przyszła, wraz ze zdenerwowanym właścicielem takiego punktu poirytowanym że mu lezy w kącie i “już śmierdzi na potęgę więc może bym ją sobie odebrał bo co on ma zrobić ?”….
      Co ciekawe, wcześniej, przez dwa tygodnie nikt w firmie spedycyjnej nie był w stanie nigdzie zlokalizować tej przesyłki .
      Już nie powiem o okradzionych po drodze zdekompletowanych przesyłkach.

      Nie, oczywiście nie jestem jakimś tam wrogiem zakupów via internet – ale uważam, że nic nie zastąpi odbioru osobistego u dostawcy, dzisiaj nawet miałem przykład tego jak można to szybko, uczciwie i rzeczowo załatwić. Po drodze do domu. Gdybym się zdawał na paczkę załatwiłbym pewnie po nowym roku …

      Ale co kto lubi – na szczęście mamy demokrację i wolność wyboru . :)

  69. Niebezpiczeniku,

    Chyba Gvoice wdrożył zabezpiczenie przed aktywacją go za pomocą numeru z MySudo.
    Otrzymałem SMS weryfikujący na numer w MySudo, po przepisaniu do GV, wróciłem do punku wyjścia pt: podaj nr tel, na ktróy możemy wysłać Ci email. I… po ponownym podaniu tego samego numeru z MySudo twierdzi, żeto nie jest prawidłowy numer ;-)

  70. No proszę, a w sklepie nie pytają o dane osobowe. Mówisz co chcesz kupić, sprzedawca podaje towar, ty płacisz, zabierasz towar i odchodzisz nikomu nieznany. Żadne dane nie wyciekły.

  71. Ale, że, dlaczego nie brać gwarancji? Brać, choć UE zagwarantowała gwarancję 2 letnią na podstawie dowodu zakupu, czyli paragonu lub faktury. Paragony wytrzymują dwa lata gdy leżą spokojnie nie zaczepiane przez nikogo i przez nic. :)

  72. Zobaczymy czy luki w zabezpieczeniach jakie ma Intel w swoich procesorach nie miały także z tym nic wspólnego.

  73. Widać ich dział IT oraz pracujący tam ludzie byli “po taniości”
    Niestety wiele firm i ich właściciele traktują IT jako zło konieczne a handlowców jak cud świata.

  74. […] PESEL-u nie zmienicie, daty urodzin też. Z numerem telefonu ciężko jest się rozstać. E-maile mają dobre antyspamy. Po prostu musicie się pogodzić z wyciekiem Waszych danych i tym, że będą kolejne tego typu sytuacje. A zamiast walczyć ze skutkami, polecamy prewencję: nie podawajcie swoich danych osobowych byle komu. A do “konkursików” i innych “serwisików” wpisujcie alternatywny adres e-mail i numer telefonu niepowiązany z Waszymi kontami w bankach i social mediach. O tym skąd za darmo brać takie numery telefonów pisaliśmy w artykule “z poradami dla ofiar wycieku danych serwisu Morele.net“. […]

  75. A czy podczas dokonywania płatności w jakimś sklepie internetowym za pośrednictwem np. PayU, sprzedawca widzi jakieś dane właściciela konta bankowego? Żeby nie było przypału, że podaje zmyślony numer i imie do wysyłki a później sprzedawca i tak widzi moje dane.

  76. Woah,
    Prawie przez ten wyciek dzisiaj zostałem ofiarą ataku.
    Przez to, że miałem to samo hasło na morele i patreon’ie, ktoś chciał to wykorzystać i zapewne wpłacić wszystko z karty na jakiś konkretny profil. Dobrze, że miałem 2 etapową weryfikację. Tylko to mnie uratowało.

  77. […] October 2018, the Polish e-commerce website Morele.net suffered a data breach. The incident exposed almost 2.5 million unique email addresses alongside phone numbers, names and […]

  78. […] 18 grudnia 2018 Morele w końcu rozsyła klientom informację, że jednak był źródłem danych klientów. […]

  79. Uwaga, prawdopodobnie z tej bazy z Morele teraz rozsyłany jest phishing udający Allegro. Strona wygląda dokładnie jak panel logowania Allegro, sam mail wizualnie też nie wygląda na podejrzany. Po zalogowaniu na fejkowy login i hasło w następnym kroku zastałem formularz do podania danych karty płatniczej, celem weryfikacji metody płatności. W treści maila było nawet moje imię i nazwisko oraz służbowy numer telefonu i tylko robiąc zakupy na Morelach mogłem podać wszystkie te dane, a haveibeenpwned potwierdza obecność tego adresu w wycieku z Moreli.

  80. […] 18 grudnia 2018 Morele przyznało, że sklep był źródłem danych klientów. […]

Odpowiadasz na komentarz jakiesime

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: