Archiwa: email - Strona 2 z 4

22 grudnia, 201818 października, 2020

Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Informacje o wycieku

Z serwisu Morele.net wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku z Morele.net poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Hasła

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Maile

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Konta w sklepach internetowych

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

UPDATE2: Jak donosi Zaufana Trzecia Strona, baza sklepu Morele.net została ujawniona przez włamywaczy. Jakieś pięć miesięcy po ataku.

9 sierpnia, 201517 kwietnia, 2018

Spam o grze na giełdzie – wzorzec, sprawdź logi

Od pewnego czasu dostaję sporo spamu dotyczącego gry na giełdzie. Polsko brzmiące From, w treści zwykle niemieccy uczeni, gra na giełdzie, sztuczna inteligencja oraz całą dobę. W różnych wariantach. Do tego link do strony.

Z tego co mi się obiło o ekran, nie tylko ja to dostaję, a z tego co widzę po skrzynkach – filtry nadawców sobie nie radzą. Poza tym, myślałem, że się skończyło, ale widzę, że nadchodzi kolejna fala.

Zgłaszałem do SpamCopa (nie bez trudności) i akurat w tej kwestii dostałem kilka odpowiedzi z podziękowaniami za zwrócenie uwagi na problem, poza tym, jest charakterystyczny ciąg w URLu, więc wygląda na działanie jakiegoś niezbyt znanego robaka.

Mianowicie wszystkie(? albo prawie wszystkie) URLe, do których odsyłają maile ze spamem zawierają ciąg:

.php?b=2

Zapewne jeśli prowadzi serwer WWW, to warto grepnąć logi pod tym kątem. Kod 200 będzie oznaczał, że prawdopodobnie strona jest zainfekowana.

Zatem prośba do adminów WWW o sprawdzenie logów pod tym kątem, a do adminów poczty o próbę uwzględnienia tego w regułach antyspamowych.

PS Jakby przyjrzeć się bliżej, to pewnie nawet okaże się, że problem dotyczy tylko starej wersji któregoś CMSa, ale tego nie chce mi się już analizować.

14 lipca, 201517 kwietnia, 2018

Handel po polsku – jednak się da? @XKOM_PL

Generalnie nie mam w zwyczaju opisywać każdego sklepu (chyba, że ostro skopią…), w którym kupuję, ale dla x-kom.pl zrobię wyjątek, bo mnie urzekli aktywnością na Twitterze. Chyba pierwsza polska firma, która robi sensowny i nienachalny marketing w social media (tu: Twitter), więc w nagrodę trochę konstruktywnej – mam nadzieję – krytyki (czepialstwa).

tl;dr – warto obserwować na Twitterze, dobre promocje, działają nieźle i szybko, choć pewne rzeczy, raczej kosmetyczne, można poprawić.

Zaczęło się od tego, że któryś ze znajomych podzielił się statusem o którejś promocji. I okazała się ona być sensowna. Znaczy faktycznie upust do dobrej ceny, a nie „mamy 30% drożej niż konkurencja, to obniżmy cenę o 25% i zróbmy szum”. Rzuciłem okiem, stwierdziłem, że warto dodać do obserwowanych, bo może kiedyś coś mi się przyda, a recenzje klientów dość entuzjastyczne. Poza tym, jest interakcja z użytkownikami i raczej niewiele „pustych” statusów typu „co u was słychać?”. Chociaż – po sprawdzeniu – takie też się pojawiają, ale normalnie nie rzuca się w oczy, więc strawna ilość.

Wczoraj nadszedł ten dzień, że pojawiły się w promocji karty microSD Sandisk 16GB class 10. Za 19,99 zł, czyli cena, w której normalnie można kupić class 4. Sprawdziłem dziś na popularnym portalu Aukcyjnym i najtańsze takie karty były po 24 zł. Pomyślałem, że do Banana Pi jak znalazł i kupiłem. No to obiecane wrażenia z zakupu.

Kupno w sklepie internetowym wymaga rejestracji. Nie przepadam, ale taki jest de facto standard, więc nie narzekam. Na plus – zgoda na wysyłkę info o promocjach nie jest obowiązkowa. Na minus – konieczne jest podanie numeru telefonu, który – uprzedzę fakty – do niczego nie jest tak naprawdę potrzebny.

Po finalizacji zamówienia pojawia się informacja, że mail został wysłany. I żeby sprawdzać folder Spam. Zwłaszcza to drugie dziwi, bo istnieją sposoby, żeby takie rzeczy nie miały miejsca. Dla leniwych: są serwisy, przy użyciu których rozwiązuje się ten problem rzutem pieniądza, także polskie. Kolejna rzecz na minus – na maila czeka się długo. Na tyle długo, że zacząłem się dopytywać na Twitterze, ile. I nie, nie chodzi o greylisting. Ani nie wymagam od poczty dotarcia w kilkanaście sekund (choć prawda jest taka, że z większości serwisów maile mam na skrzynce w małe kilkadziesiąt sekund).

Łącznie dostałem cztery maile, wszystkie z jednego adresu (OK!):

Potwierdzenie rejestracji
Twoje zamówienie zostało przyjęte
Twoje zamówienie oczekuje na realizację
Twoje zamówienie zostało przekazane do realizacji

Pierwszego nie trzeba komentować – po prostu potwierdzenie rejestracji. Drugi, wysłany 8 minut(!) później, potwierdza przyjęcie do zamówienia i mówi, że „W kolejnej wiadomości otrzymasz szczegółowe informacje na temat sposobu jego realizacji”. Ciekawostką jest trzeci „Twoje zamówienie nr xxx zostanie skompletowane najszybciej jak to możliwe. Poinformujemy Cię o tym w kolejnej wiadomości. Jeśli terminy dostawy produktów Ci nie odpowiadają, możesz anulować zamówienie klikając na ten link”. Kupiłem dwie sztuki z odbiorem w salonie, dostępna była jedna. Fajnie, że mogę zrezygnować z zamówienia, ale szkoda, że nie ma informacji, ile będę tak naprawdę czekał (brak nawet przybliżonego czasu). Ostatni mail zawiera informację o tym, że zamówienie można odebrać. I został wysłany 25h od złożenia zamówienia, czyli bardzo dobry wynik.

Co mi się nie podoba? Tematy maili. Pierwsze dwa są OK, ale trzeci i czwarty są IMO mylące. Jak dla mnie to zamówienie „oczekuje na realizację” czy też „jest realizowane” od momentu przyjęcia zamówienia. Nazwałbym to po prostu „opóźnienie w realizacji zamówienia”, bo taka jest wymowa. I dodał orientacyjny termin. Ostatnie – zupełnie nie wiem, czemu nie „zamówienie gotowe do odbioru” ew., jeśli to wspólne dla wysyłek pocztą „zamówienie zrealizowane”.

I tu dochodzi ostatni element, czyli SMS. Po pierwsze, został on wysłany po ostatnim mailu. Minutę, ale jednak. Po drugie, nie zawierał numeru zamówienia. Po trzecie: nic nie wniósł całego procesu. Numer telefonu mógłby być niewymagany, tak naprawdę.

Wyszło, że narzekam. Ale nie narzekam, wręcz przeciwnie. Jest szybko (25h od zamówienia do odbioru w moim mieście) i sprawnie, ceny dobre. Miła odmiana po tym, co opisywałem ostatnio, choć przyznaję, że Chińczycy stawiają poprzeczkę wysoko, jeśli chodzi o ceny, czas realizacji i obsługę klienta (w tym bezpieczeństwo transakcji). Podsumowanie: dobre ceny (przynajmniej na promocjach), szybka realizacja. Będę kibicować i korzystać.