Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

11 Replies to “Skutki wycieku danych z Morele.net”

  1. Tak jak napisałem u siebie. Sklep może mieć i 100 pół na formularzu rejestracyjnym. Po co jednak podawać prawdziwe dane gdy wiemy, że tego nie potrzebujemy?

    Przykladowo e-mail w formularzu do komentarza. Ja nie potrzebuje powiadomień, a jest wymagany. No i co z tego, pole tekstowe przyjmie wszystko.

    1. Nie do końca jak piszesz. Jeśli sklep wymaga założenia konta do zakupu i w dodatku trzeba kliknąć w link potwierdzający, to zostaje albo alias, albo tymczasowa skrzynka, albo rezygnacja z zakupu. Wolałbym móc po prostu kupić bez zakładania konta.

      Wracając do komentarzy – prawdziwe dane też się czasem przydają. Do skontaktowania w przypadku problemów czy kontynuowania dyskusji. W sumie byłbym zdziwiony, gdyby nie było rozszerzenia pozwalającego na automatyczne akceptowanie komentarzy z danego maila albo wysyłającego linka do potwierdzenia komentarza w ramach odsiewania spamu.

      W każdym razie wolę mieć osobną skrzynkę lub alias nawet na takie okazje.

      1. Sklep internetowy musi i tak wysłać ci e-mail, więc założenie konta czy podanie go do transakcji to prawie to samo (znajduje się w bazie danych). Co innego inne dane osobowe, adres pocztowy gdy np. odbierasz towar osobiście są niepotrzebne. Formularze są kompletne na wszystkie okazje, z których nie korzystasz. Pisałem o tym nadkomplecie danych.

        Zresztą przy kolejnym wycieku sklepy same zaczną te pola kasować z baz danych. Mały sklep nie potrzebuje nazwiska – zamówienie odbierze „Jan”, powołując się na np. nr zamowienia. A czy to jest Jan Matejko czy Jan Kochanowski – co to kogo obchodzi jak dostaje tylko paragon.

        1. To trochę bardziej skomplikowane, bo zakres potrzebnych danych zależy od sposobu wysyłki. Na co zdarzyło mi się naciąć – nie podałem pełnego adresu licząc, że „i tak zawsze będę korzystał z paczkomatów”. I zamówiłem coś zwykłym listem…

          Dla mnie ideałem jest wariant, gdzie do zakupów okazjonalnych nie muszę zakładać konta, tylko podaję „doraźnie” dane, które są zapisywane tylko na chwilę (powiedzmy: miesiąc) i kasowane automatycznie.

          Natomiast konto w sklepie daje to, że nie trzeba za każdym razem wypełniać wszystkiego i to może być wygodne, jeśli ktoś kupuje regularnie. Zwł. przy zakupach z telefonu, z trudniejszym wpisywaniem.

          Z paragonami prawda, ale zależy też jaki jest udział zakupów na fakturę i na paragon.

          Niemniej co do zasady „jak najmniej danych i jak najkrócej” – oczywiście zgoda.

  2. W książce Julii Angwin (https://mnmlista.pl/offline/prywatnosc/) wyczytałem, że w odpowiedzi na ogromny przemysł zbierania danych w Stanach, rozwijają się i powstają serwisy „maskujące” nasze dane wrażliwe, typu numer karty, telefon czy adres wysyłki.

    Pytanie jak bardzo ufamy takim serwisom. Tak jak pisałem we wpisie, ogólnie sprawa jest trudna, bo systemy są projektowane tak, aby tych danych jak najwięcej zbierać.

    A słyszałem np. o pomysł Stallmana na telefon komórkowy (jeśli niczego nie przekręciłem) który jest taki, że aparat domyślnie pracuje jako pager, czyli tylko odbiera jak radio komunikaty typu prośba o kontakt bez ujawniania lokalizacji. Dopiero gdy właściciel aparatu zdecyduje się oddzwonić, nawiązywane byłoby połączenie z najbliższą komórką i ujawniana lokalizacja.

    Ale świat i standard GSM poszły w zupełnie innym kierunku i nie widzę woli żeby ten kierunek zmienić.

    Tomek

  3. I tutaj dochodzimy do sedna sprawy czyli poprawnej implementacji RODO, o które było tyle krzyku. Jak sam słusznie zauważyłeś zakładanie konta nie jest w wielu przypadkach konieczne, a sam sklep nie powinien tak długo przetwarzać danych swoich użytkowników albo przynajmniej archiwizować je w lepiej chronionych systemach, niedostępnych z zewnątrz na czas dajmy na to realizacji ustawowo nałożonych obowiązków jak rękojmia, gwarancji, etc.

    1. Z tym „tak długo” to też różnie jest. Gwarancja/rękojmia to rok/dwa, czasem wydłużane dodatkowo. Dane finansowe – AFAIK 5 lat. Czyli ile byłoby OK? Oraz: zawsze można konto usunąć i zażądać usunięcia danych. Niestety, trzeba o tym pamiętać, więc rozwiązanie czysto teoretyczne.

      Lepiej chroniony system, niedostępny z zewnątrz, osobny system? Nie znam szczegółów włamania, ale nawet takie zabezpieczenia nie dają gwarancji, że dane nie wyciekną (wystarczy zainfekowana stacja robocza pracownika z dostępem do takiego systemu), a rozwiązanie sporo droższe.

      Brak wymogu zakładania konta wydaje się najlepszy.

      1. Ile? To pytanie dla ekipy implementującej, działu prawnego i księgowego i bezpieczeństwa. Tak duża firma ma wystarczające zaplecze na tego typu analizy i jeśli nie oni to kto ma wiedzieć? 😉

        1. Moment. To Ty chciałeś, żeby dane przechowywane były krócej. A przecież kary nie było, czyli można wyciągnąć wniosek, że wszystko było zaimplementowane zgodnie z RODO, a przynajmniej „good enough”. Zatem wygląda, że prawnicy i spółka odrobili zadanie domowe. 😉

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *