10:46
23/11/2018

Dostajemy sygnały, że przestępcy mają dostęp do danych klientów sklepu Morele.net (co najmniej numeru telefonu). Otrzymaliśmy wczoraj 2 informacje od dwóch różnych osób, że tuż po zakupie w Morele.net na podany sklepowi numer telefonu otrzymali oni takiego SMS-a:

SMS-y wysyłane są z nadawcy morelesms ale widzieliśmy też nadawcę morelenet. Numer na “dopłatę 1PLN” po raz pierwszy pojawił się w internecie miesiąc temu i opisywaliśmy go w szczegółach w artykule pt. Uwaga na SMS-y proszące o dopłatę 1 PLN. Wtedy SMS-y wyglądały na rozsyłane masowo, na chybił-trafił, nawet do osób, które nie spodziewały się żadnej przesyłki. Chociaż jak można się domyślić, w tym przedświątecznym okresie większość ludzi na jakąś przesyłkę czeka. W końcu mamy BLACK FRIDAY (na Niebezpieczniku także).

Dokąd prowadzi link?

Stali czytelnicy Niebezpiecznika pewnie domyślają się, gdzie prowadzi link. Oczywiście! Do lewego panelu płatności Dotpay:

Jak widać, przestępcy mają chyba lekką posuchę jeśli chodzi o słupów w dużych bankach. W każdym razie – po podaniu danych dostępowych dzieje się to co zawsze w przypadku lewego pośrednika w płatnościach.

  1. Przestępca korzysta z login i hasła do banku podanego przez ofiarę i loguje się na jej konto
  2. W zależności od banku, przestępca tworzy na koncie ofiary “odbiorcę zaufanego”.
  3. Ofiara dostaje SMS z banku (lub notyfikację PUSH) proszącą o akceptację operacji “dodania odbiorcy zaufanego”
  4. Ofiara NIE CZYTA DOKŁADNIE SMS-a z banku (lub treści notyfikacji) i potwierdza zamiast PRZELEWU który rzekomo wykonuje, zupełnie inną operację, jasną w SMS-ie (lub notyfikacji) opisaną jako DODANIE do swojego konta “odbiorcy zaufanego”
  5. Przestępca przewala całą kasę ofiary na konto “odbiorcy zaufanego” szybkim przelewem (BlueCash) w kwotach poniżej progu limitu
  6. Ofiara po jakimś czasie orientuje się, że została okradziona, ale zazwyczaj jest już za późno na reakcję. Szybkie przelewy mają to do siebie, że są szybkie…

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Jakim cudem przestępcy mają dostęp do danych klientów Morele?

W tym ataku jedno jest ciekawe. Z naszych informacji wynika, że SMS-a o dopłacie, podszywającego się pod Morele, dostają tylko ludzie, którzy robią zakupy w Morele, i to tuż po tym jak je zrobili. Skąd przestępcy mają dane ofiar, które do tej pory wedle naszej wiedzy faktycznie są klientami Morele? Albo z Morele. Albo od firmy kurierskiej, która obsługuje sklep. Ale są także dwa inne rozwiązania…

Jeden z czytelników, który się z nami skontaktował, konto w Morele założył wczoraj, tuż przed zakupami i tuż po zakupach dostał SMS-a. Drugi z czytelników konto miał już wcześniej, ale podczas zakupów po raz pierwszy podał inny numer telefonu (i to na niego dostał SMS-a).

Na tej podstawie można wykluczyć, że przestępcy dysponują jakąś “starą” bazą Morele.net, która mogła kiedyś wyciec (tak, bazy sklepów wyciekają, ostatnio bazę stracił sklep NEONET). Powyższe prowadzi do wniosku, że przestępcy muszą mieć [1] aktualny dostęp albo do bazy sklepu, albo [2] dostęp do baz firmy Pocztex (tego kuriera wybrał nasz Czytelnik).

Niewykluczone oczywiście jest też to, że [3] dane “sprzedają” przestępcom pracownicy Morele albo Pocztex. Skoro pracownicy banków i operatorów GSM kradną dane klientów z firmowych baz, to nie wątpimy że zdarza się to także w innych typach działalności. Ale jest jeszcze jedna możliwość.

Być może dalej przestępcy [4] rozsyłają SMS-y o dopłacie “na pałę” tak jak to robili tydzień temu. Ale cześć z nich po prostu trafia na klientów Morele, tuż po tym jak zrobili zakupy w Morele (por. podobny błąd poznawczy, jaki opisaliśmy w tekście SMS-owy spam ze sklepu z papierosami i teorie spiskowe).

Mamy więc 4 hipotezy. Która jest prawdziwa?

Co na to Morele.net

Morele już informuje o tym ataku na swojej stronie:

Ważne jest to oświadczenie sklepu:

Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.

Jest tylko jeden problem. Masowość. W treści SMS-ów jakie dostali nasi Czytelnicy pojawiają się dwa adresy:

https://bitly[.]com/2DT6hKu
https://bitly[.]com/2DAEJbD
https://bitly[.]com/2PNKb29
https://bitly[.]com/2zBfZxl
https://bitly[.]com/2BCJgZL

prowadzące odpowiednio do:

https://platnosci-morele[.]online/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Wskazuje na IP Cloudflare: 104.18.51.70, 104.18.50.70
#Założona: 2018-11-22 17:42:31

https://platnosc24[.]com/morele?tid=ItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
#Wskazuje na IP Cloudflare: 104.28.31.30, 104.28.30.30
#Założona: 2018-11-21 15:44:45

https://p-24[.]site/morele?tid=...
#Wskazuje na IP Cloudflare: 104.24.97.222, 104.24.96.222
#Założona 2018-11-23 15:38

https://platnosci-24[.]com/morele?
#Wskazuje na IP Cloudflare: 104.24.113.147, 104.24.112.147
#Założona 2018-11-26 16:37:38

https://px24[.]site/morele...
#Wskazuje na IP Cloudflare: 104.31.74.185 104.31.75.185
#Założona 2018-11-27 o 19:49:57

Popatrzmy na ich statystyki odwiedzin:

Bazując na naszej wiedzy i doświadczeniu, sądzimy że oba SMS-y (z tym dwoma linkami) zostały rozesłane do maksymalnie 50 osób.

Oczywiście niewykluczone, że URL-i i SMS-ów jest więcej. Ale zazwyczaj przy “masowych” akcjach mamy sporo zgłoszeń. W tej sprawie tylko dwa… Dlatego my, z naszego punktu widzenia, ataku nie nazwalibyśmy masowym. A raczej ukierunkowanym. Ale żeby to potwierdzić, trzeba byłoby dotrzeć do innych odbiorców SMS-a i zapytać ich, czy faktycznie robili chwilę wcześniej zakupy w Morele. Jeśli tak, obstawiamy kreta w jednej lub drugiej firmie albo błąd w systemach informatycznych jednej lub drugiej firmy, czyli hipotezy oznaczone powyżej jako [1], [2] albo [3].

Jeśli otrzymaliście SMS od nadawcy morelesms, dajcie nam znać w komentarzach i podeślijcie screena na adres redakcja@niebezpiecznik.pl

Kupuję w internecie, nie tylko w Morele — co robić, jak żyć

Gdzie możesz płać kartą kredytową (w ostateczności debetową). Tak popularni w Polsce pośrednicy w płatnościach też umożliwiają płatność kartą, więc zamiast ikony swojego banku wybierz ikonę VISA lub MasterCard. Dlaczego karta a nie np. BLIK? Bo tylko przy płatnościach kartą masz możliwość reklamacji i odzyskania środków, jeśli coś pójdzie nie tak. Żadna inna forma płatności domyślnie na to nie pozwala.

Możliwość reklamacji oznacza, że niegroźne Ci będą fałszywe sklepy internetowe lub nieuczciwi sprzedawcy ale także lewy panel DotPay’a — bo żeby płacić kartą nie trzeba się logować do banku (a na to liczą przestępcy). Jeśli nie dostaniesz towaru, zareklamujesz transakcje na karcie poprzez procedurę CHARGEBACK (masz na to do 90 dni). Wystarczy jeden telefon do banku i wypełnienie formularze przesłanego przez bank e-mailem. Na drugi dzień pieniądze masz znów na rachunku. Nie przejmuj się, że podając numer karty narażasz go na wyciek. To prawda, ale jeśli na karcie pojawią się lewe transakcje, to też wystarczy jeden telefon do banku i dzięki CHARGEBACK masz i pieniądze znów na koncie i nową kartę.


Więcej o tym dlaczego warto płacić kartą rozmawialiśmy w drugim odcinku naszego podcastu “Na Podsłuchu”.

Jeśli jednak nie lubicie wybierać najprostszych i najskuteczniejszych metod, to możecie też sami samodzielnie sprawdzać czy sklep internetowy, w którym robicie zakupy jest prawdziwy. Poradnik jak to zrobić znajdzicie tutaj: “Jak rozpoznać fałszywy sklep internetowy?“.


Aktualizacja 23.11.2018, 12:46
Napisał do nas Paweł:

potwierdzam taki sam przypadek u mnie. Nigdy nie byłem wcześniej klientem (morele.net — dop. red.), załozyłem konto 21.11 przy składaniu zamówienia. Kilka godzin później otrzymałem sms z informacją o dopłacie. To nie wygląda na zbieg okoliczności.

Paweł podesłał też innego SMS-a:

Pojawiła się też 5 hipoteza. Złośliwy dodatek do przeglądarki (albo wstrzyknięty JS na stronę Morele), który scrapuje wprowadzane numery telefonów. Warto też zwrócić uwagę, że SMS-y nie są “imienne” a gdyby przestępcy mieli dostęp do takich danych, raczej by z nich skorzystali w celu podniesienia skuteczności ataku.


Aktualizacja 23.11.2018, 14:26
Morele przesłało nam następujące oświadczenie i prośbę:

chcielibyśmy poinformować Państwa, że jesteśmy w kontakcie z Policją. Podjęte zostały też już odpowiednie działania celem ustalenia źródła tego nielegalnego procederu. Niestety nie możemy ujawnić więcej szczegółów bo mogłyby one utrudnić działania operacyjne. Główne informacje w tej sprawie opublikowaliśmy już w oświadczeniu na stronie morele.net (które Państwo również przytaczacie).

Jednocześnie, celem ułatwienia realizacji podjętych działań, zwracamy się do Państwa z prośbą o zamieszczenie w artykule https://niebezpiecznik.pl/post/uwaga-klienci-morele/ wyraźniej informacji aby wszystkie osoby, które otrzymały takiego smsa wysyłały do nas jego screen (informacje o nr zamówienia i godzinie otrzymania sms) na adres email: informacja@morele.net.

Jak już będziecie wysyłali te dane na adres Morele, to zróbcie FWD i do nas ;)


Aktualizacja 23.11.2018, 15:16
SMS-y tego typu dostają także klienci Digitalo.pl. Już myśleliśmy, że mamy pierwszy przypadek kogoś, kto dostał taką wiadomość i nie korzystał z Morele, ale Digitalo to marka Morele…


Aktualizacja 23.11.2018, 20:06
Przestępcy właśnie rozpoczęli rozsyłkę SMS-ów z kolejną domeną. Obiorcami są klienci Morele oraz …amfora.pl (także marka Morele).

https://bit[.]ly/2PNKb29

Przekierowuje na:

https://p-24.site/morele?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8&gat=U4CqsATwC2tANmQf&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE&997582=97&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2

Domena założona dziś o 15:38, obecnie wskazuje na Cloudflare (104.24.97.222, 104.24.96.222)

Domenę, dla przejrzystości, dopisaliśmy też wyżej.


Aktualizacja 26.11.2018, 22:17
Otrzymaliśmy kolejny sygnał. Także od klienta Morele. Także po zrobionych przez niego zakupach.

Tym razem SMS z nadawcy morele24 lub morele_, kierujący na link:

https://bitly[.]com/2zBfZxl

przekierowujący na

https://platnosci-24[.]com/morele?
tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&997582=97
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2

do fałszywego panelu Dotpay:

platnosci-24.com has address 104.24.113.147
platnosci-24.com has address 104.24.112.147
platnosci-24.com has IPv6 address 2606:4700:30::6818:7093
platnosci-24.com has IPv6 address 2606:4700:30::6818:7193
Creation Date: 2018-11-26 16:37:38


Aktualizacja 28.11.2018, 20:39
Kolejna domena:

https://bitly[.]com/2BCJgZL

przekierowuje na założoną 2018-11-27 o 19:49:57 domenę:

https://px24[.]site/morele...

Tym razem SMS od “_morele_”.


Aktualizacja 18.12.2018, 11:55
Dziś Morele rozesłało do swoich klientów (co najmniej setek tysięcy klientów), informacje o tym, że doszło do kradzieży ich danych. Firma wycofała się także ze słów że powodem to nie ich baza danych była źródłem danych o klientach, którzy otrzymywali opisywane w niniejszym artykule SMS-y.

Więcej na temat najnowszych informacji w tym wątku znajdziecie w naszym nowym artykule pt. Morele potwierdza że wykradziono dane klientów.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

63 komentarzy

Dodaj komentarz
  1. A może jest opcja nr 4? Zainfekowana przeglądarka (strona morele? strona reklamodawców? Zewnętrzny JS? Zewnętrzna czcionka?), która odczytuje nr telefonu i wysyła SMSa? W dzisiejszych czasach podczepiania GA czy innych JS-ów, to trudno może być wyśledzić…

    • Też mi to przeszło przez myśl. Robiłem zakupy na Morelach w zeszłym tygodniu w piątek i nie dostałem nic. Chyba że sprawa jest dużo świeższa.
      Albo przestępcy już mi się włamali na konto i płaczą widząc że muszą dopłacić ;)

  2. To ja dostałem wczoraj takiego SMS. Nie ma możliwości abym miał jakiekolwiek wirusy. Sam robię w IT i mam dość blisko do “security” – zatem opcję 4 wykluczam całkowicie.

    • Napisz proszę z czego korzystałeś przy zamówieniu (pc z win/linux, android, iphone, mac) i jaką formę dostawy wybrałeś. Sam chciałbym tam coś zamówić ale na razie się wstrzymam.

  3. Dobra, a okoliczności zakupu, tzn. poprzez co wchodzili kupujący na sklep; komputer czy smartfon, jaki system / przeglądarka / apka, wpisując url czy z serwisu przekierowującego

    • Windows 10 / Chrome najnowszy – adres strony wpisany bezpośrednio. System czysty jak łza :)

    • @Andrzej – Windows 10 czysty jak łza? Niemożliwe… ;)

  4. smsy pewnie z SMSapi lecą, darmowe konto pozwala na 50 smsów

  5. Jest jeszcze jedna opcja ISP

    • Nie, sam jestem sobie ISP więc ten punkt też odrzucam :)

    • @Andrzej

      Nie bardzo chwytam w jaki sposób jesteś sam sobie dostawcą dostępu do Internetu, czy możesz rozjaśnić?

    • Co ISP? Masowo rozszywa TLS-a wszystkim swoim klientom robiacym zakupy w Morele?

    • @stukot Zawodowo jestem adminem w ISP i w związku z tym – sam sobie dostarczam Internet :)

    • @Andrzej

      OK dzięki za wyjaśnienie, pozdrawiam

  6. Jeśli to wstrzyknięty kod JS to ja się pytam: Czemu te sklepy nie korzystają z nagłówka Content-Policy? Toć to podstawa bezpiecznego tworzenia biznesu internetowego opartego o www.

    • Eee, bo nie zainwestowali w web devów?

  7. @Morele, to ile czasu macie na zgłoszenie wycieku do UODO?

  8. Kupowałem w morelach parę dni temu i nic nie przyszło

  9. Kupowałem w Morelach dwukrotnie (początek tygodnia). 1 zamówienie szło DHLem, drugie Pocztexem. Płatność przelewem i żadnych smsów o dopłacie.
    Zakpy przez pc, Win10, chrome, ublock + ghostery
    Konto mam tam od b. dawna

  10. Ja złożyłem u nich 2 zamówienia i nie dostałem ani jednego smsa, możliwe że porodem braku tych smsów od oszustów jest chęć zapłaty gotówką.
    Chciałem najpierw zapłacić online ale strona na którą zostałem przekierowany z morele.net nie wydaje się być wiarygodna.
    A mianowicie chce za dużo danych z karty.
    wszystkie numery, daty ważności itp.
    myślę więc, że to nie jest wyciek z morele a z tej właśnie strony (na którą morele przekierowuje przy płatnościach)

    • Bogu. Ale ty wiesz że numer karty, data ważności, i kod PS2 podaje się zawsze przy płatności kartą online prawda?

    • Jaho – kodu CVV/CVC nie trzeba podawać np. w amazonie.

    • @Paweł
      Bo Amazon bierze na klatę wszelkie oszustwa wynikające z niepodania tego numeru. Żaden inny sklep nie ma ochoty tak ryzykować. Dlatego wszystkie sklepy w Polsce chętnie korzystają z 3D secure – jest to zabezpieczenie chroniące sklep, nie klienta.

  11. Tez dostalem tego smsa, a w sumie dwa. Jeden z ta doplata 1zl. A drugi niby z ING identyfikujacy sie jako ing_info.

    Moj telefon jest ok. Wyglada wedlug mnie na ewidentny wyciek z Morele.

  12. Próbuję dzisiaj wysłać mało typową paczkę (tak, wiem, że cyber monday to nieodpowiedni moment, czasami niestety nie udaje się mieć wpływu na decyzje innych osób) i na podstawie tego, co widzę w panelach klienta u kurierów, stawiam tezę, że prawdopodobnego źródła wycieku warto poszukać u nich. Takie Morele przecież też wysyłają, zapewne mają integrację z api kuriera, no ale wiadomo jak to z api oraz jego interpretacją bywa.

    Jeden z paneli klienta doprowadził mnie do nagrywania ekranu, bo nie mogłem uwierzyć co widzę (dane zapisujące się w nie tych polach lub nie zapisujące się, inna cena w płatnościach niż w rachunku), to znaczy coś z systemem jest mocno nie tak –> podatność na włam -> wyciek danych też prawdopodobna. A danych potrzebnych w niejednym panelu wręcz nadkomplet.

    OK, wracam do roboty, bo ta *** paczka sama się niestety nie wyśle.

  13. Nie do końca mam przekonanie co do zabezpieczenia w postaci płatności kartą. Wprawdzie jest chargeback, ale podanie oszustowi danych karty zamiast danych logowania do konta to jednak też ryzyko, przecież można przeoczyć mniejsze nieautoryzowane płatności, albo zostać zapisanym na subskrypcję. W dodatku trzeba pamiętać że miały już miejsce sytuacje gdy w przypadku płatności kartą nie zadziałały limity na koncie.

  14. Kupowałem w zeszłym tygodniu (poniedziałek lub wtorek) i jak dotąd nic nie przyszło. Kupiłem teraz w weekend i dostałem już potwierdzenie ale żadnych podejrzanych SMSów. Z kompa, nie z aplikacji mobilnej.

  15. Oświadczenie morele, w skrócie:

    “Nasza baza jest doskonale zabezpieczona. To, że fałszywe sms-y dostają tylko klienci naszego sklepu, oraz naszych pod-marek – zaraz po zakupie – to jedynie zbieg okoliczności. Już współpracujemy z kulsonicją, by tego okolicznościowego zbiega złapać i wychłostać”

  16. Teraz pojawia się pytanie. Wiadomości są rozsyłane od ponad tygodnia. Nasuwa się pytanie. Czy sklep jest bezpieczny, czy coś robią, czy lepiej skasować konto i przenieść od konkurencji? Chyba, że tydzień to za mało na wykrycie potencjalnego źródła wycieku, i trzeba jeszcze poczekać.

  17. Napisaliście “Pojawiają się dwa adresy”, a poniżej tych adresów jest aż pięć.

  18. Skoro wejść na stronę z płatnościami bylo wg was tylko 50, a prawdoodobnie zakupu w morele zrobiło w tym czasie conajmniej kilka tysięcy osób to moim zdaniem warto poszukać wg klucza geograficznego (może to konkretny oddział spedytora)

  19. Koniec roku 2018. Oczywiście, jak to w tych czasach, winnych zaniedbań w IT “nigdy nie odnaleziono”, a straty, rozwlekając w czasie, przerzucono na poszkodowanych.

    Pozdrowienia dla czytających takie perełki, za dziesiąt i set lat.

  20. kolejna strona

  21. Ostatnie zakupy w morele 26.11, odbiór w sklepie, płatność kartą. SMS’a brak :)

  22. https://news.morele.net/archive/morele0/Informacja-od-Grupy-Morelenet-na-temat-bezpieczestwa-2227.html
    Coś takiego dostałem przed chwilą na email. Morele przyznaje się do wycieku danych.

  23. Taka oto wiadomość otrzymana 18 grudnia 2018 o godz. 3:17 niby od sklep@morele.net:

    “Drogi Kliencie,

    doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.

    Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).

    Jakie są zagrożenia?
    Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości sms lub dostarczania na Twój adres e-mail informacji (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko rozkodowania hasła.

    Co należy zrobić?
    ● zmień hasło do swojego konta Grupy Morele. Ponadto, jeśli takie samo hasło było używane w innych miejscach w Internecie – również rekomendujemy jego zmianę w tych miejscach.

    ● nie odpowiadaj na wiadomości email i smsy wysyłane przez spamerów. Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności. Nigdy nie przekierowujemy na strony płatności bezpośrednio z e-maili oraz SMSów.

    Jakie podjęliśmy kroki?
    Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.

    Zawiadomiliśmy o nieupRawnionym uzyskaniu dostępu do danych Urząd Ochrony Danych Osobowych i złożyliśmy zawiadomienie o możliwości popełnienia przestępstwa.

    Przykro nam, że nasza znajomość, przyjaźń, a może i długoletni związek zostały wystawione na taką próbę. Ta kwestia jest dla nas absolutnym priorytetem i dużym wyzwaniem dlatego zapewniamy o pełnym zaangażowaniu całego zespołu w wyjaśnienie sytuacji i wprowadzeniu działań zapobiegawczych.

    Zawsze jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami pocztą elektroniczną na adres informacja@morele.net.

    Ta wiadomość została wysłana z adresu e-mail przeznaczonego wyłącznie do przesyłania komunikatów, który nie akceptuje poczty przychodzącej. Proszę nie odpowiadać na tą wiadomość. W razie jakichkolwiek pytań proszę odwiedzić Centrum Pomocy Morele.net: Kontakt

    Pozdrawiamy serdecznie, zespół Morele.net”

  24. I widać że źródłem było samo morele https://news.morele.net/archive/morele0/Informacja-od-Grupy-Morelenet-na-temat-bezpieczestwa-2227.html?e=&u=T

  25. Trochę Was poniosło z tym “wystarczy wypełnić formularz i na drugi dzień masz pieniądze z powrotem na koncie”. Zapomnieliście o wizycie na komisariacie i składaniu zeznań a na całą procedurę zwrotu pieniędzy bank ma 30 dni o ile dobrze pamiętam.

    • Źle pamiętasz. Wizyta na komisariacie i policja nie jest potrzebna (we wszystkich znanych nam przypadkach nie była — ale z chęcią dowiemy się o chargebackach, które tego wymagały). Bank — to prawda — ma 30 dni, ale pieniądze w większości przypadków masz po 2-3.

  26. No to wczoraj Morele już się połapało że ukradli ich bazę danych. Właśnie dostałem maila w którym się do tego przyznają.

    T

  27. Wlasnie dostalem email od morele. Okazuje sie, ze wyciekla ta jakze swietnie zabezpieczona baza danych.

  28. […] W pierwszej wersji oświadczenia mogliśmy przeczytać: […]

  29. Dzisiaj Morele rozesłało e-mail informujący o nieuprawnionym dostępie do danych. Formułka standardowa:
    “Drogi Kliencie,
    doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash).”
    Ktoś wie, jak hashowane były hasła?

  30. Informacja od Grupy Morele.net na temat bezpieczeństwa:

    Drogi Kliencie,

    doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.

  31. Konto na morele.net od 2015, ostatnie zamówienie 25.11.2018 – płatność kartą, dostawa kurierem – do dnia dzisiejszego nie otrzymałem ani jednego smsa ;-) Zgaduję, że mieli dostęp “online” i wybierali tylko zamówienia opłacone z banku / blika.

  32. Morelki dziś w nocy: “Wyciekliśmy, zmieniajcie hasła”.

  33. Doszła dziś do mnie informacja od morele.net, że dane zostały wykradzione.

  34. Morele wlasnie powiadomily mnie o wycieku danych.

    Drogi Kliencie,

    doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.

    Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).

  35. W dniu dzisiejszym (18.12.2018) otrzymałem maila od moreli w sprawie wycieku danych osobowych. Czy przypadkiem sklep nie powinien poinformować niezwłocznie po wykryciu ataku? Jakie przepisy prawa to regulują?

    • Mają 72 godziny na zgłoszenie do UODO, a poinformowanie ofiar powinno nastąpić bez zbędnej zwłoki, ale tylko “Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”

    • Dzięki za szybkie info. Zapis ten pozostawia (jak zawsze) spore pole do różnorakiej interpretacji. Moim zdaniem jest to klasyczny bubel prawny który każdy sobie będzie interpretował po swojemu. Wasz artykuł świetnie pokazuje jak przestępcy sprytnie skorzystali z pozyskanych danych. Morele wolało jednak poczekać z robieniem sobie dziadostwa i wstrzymało się z informowaniem do momentu gdy minie szał zakupowy. Decyzja podyktowana kasą a nie poszanowaniem prawa.

  36. […] A nawet miesiąc temu informacja o samym morele.net (nie wykluczone że morele po miesiącu informuje klientów): https://niebezpiecznik.pl/post/uwaga-klienci-morele/ […]

  37. a domena? https://platnosci-morele.online? ktos musial to zarejestrowac i ktos musial wystawic certyfikat. na słupa?

  38. […] Przykładem takiego włamania może być wyciek mail i haseł ze sklepu Morele.net. […]

  39. Nie rozumiem dlaczego faworyzujecie płatność kartą zamiast BLIK. Płatność kartą jest ubezpieczona ale tyko od 150euro wzwyż, do tego pułapu koszta ponosi właściciel karty, której dane po przejęciu mogą zostać wykorzystane za np. dopiero pół roku i w małym sumach, których można nawet nie zauważyć że zniknęły z konta. W BLIK to niemożliwe, transakcja korzysta z jednorazowych kodów i suma jest potwierdzana na mojej komórce. IMHO nie ma bezpieczniejszej (a zarazem tak szybkiej) metody płatności przez internet niż BLIK. PS. Paypal to najniebezpieczniejsza metoda płatności przez internet IMHO, niby z gwarancją, ale tylko na papierze a jak cię okradną to paypal i tak nie odda kasy tylko wyśle cię do sądu w Luksemburgu (tak wiem, trzeba czytać regulaminy).

    • Skąd wziąłeś informacje na temat wysokości >150 EUR. Wszystkie znane nam claimy o chargebacki poniżej tej kwoty zostały uznane. Masz jakiś kontrprzykład? Chętnie się przyjrzymy.
      BLIK nie daje żadnych gwarancji, więc już na tym polu przegrywa. A co do tego, że widzisz coś na telefonie, to znamy przypadki, gdzie ofiary podały kod (czek) BLIKA oszustowi a potem zaakceptowały płatność na telefonie. I zostały przez to z ręką w nocniku. Tak socjotechnika zawsze wygrywa — ale przy transakcji kartą nawet jak sam pomożesz się oszukać, masz duże szanse na odzyskanie pieniędzy.
      PayPal z kolei też, jak karty płatnicze, ma procedurę ala chargeback, ale nie jest ona ustandaryzowana. Znamy przypadki gdzie zadziałała i gdzie nie zadziałała. Bardzo uznaniowy i niejasny proces. Dlatego polecamy karty, a potem ewentualnie PP.

  40. “Na drugi dzień pieniądze masz znów na rachunku.” To akurat kłamstwo drogi autorze tekstu. Pieniądze, a piszę z wieloletniego doświadczenia, w reklamacji chargeback otrzymasz dopiero PO ZAKOŃCZENIU POSTĘPOWANIA REKLAMACYJNEGO (do 30 dni, czasem więcej), a w wyjątkowych sytuacjach wcześniej, jednak bez możliwości korzystania ze zwróconych środków.

    • Zazwyczaj masz już na drugi dzień – zwłaszcza jak korzystasz z karty kredytowej.

  41. […] listopada 2018 publikujemy ostrzeżenie, że coś niepokojącego dzieje sie w Morele. Na redakcyjnej skrzynce widzimy pełno zgłoszeń od klientów tego sklepu. Informują, że tuż […]

  42. […] listopada 2018 ostrzegliśmy, że coś niepokojącego dzieje sie w Morele. Na redakcyjnej skrzynce mieliśmy pełno zgłoszeń od klientów tego sklepu. Dostawaliście […]

Odpowiadasz na komentarz ktos

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: