Wyciek danych osobowych z Morele

[zakk87 127]

Niezła telenowela się zrobiła. 26 grudnia o godzinie 22:24 przyszło mi powiadomienie z Playstation Network z linkiem do zmiany hasła .

Co ciekawe ja nie logowałem się do tego konta może rok przez weba a konsolę sprzedałem forumowiczowi 2 października.

Po zalogowaniu się do konta o 22:39 zaakceptowałem nowy regulaminu oraz ponownie dostałem powiadomienie z linkiem do zmiany hasła.

Edytowane 28 Grudnia 2018 przez zakk87

[PrimoGhost 50]

Wybaczcie, ale powiem coś oczywistego.

 

Tak, jak mi się wydawało - po 1 mailu morele nie resetowalo haseł. Stare działały. Reset haseł po takiej akcji jest czymś co najmniej obowiązkowym. Nikt o tym nie zapomniał. Nikt tego nie uznał za zbędne. Po prostu w momencie wysyłania 1 maila, gdzie wspomniano, że luka została naprawiona a wyciek powstrzymany - baza dalej była w rękach złodzieja.

 

Dalej miał do niej dostęp i nie kłamał w rozmowie z dziennikarzem Z3S, że dane są dalej dostępne. To jest według mnie jedyne wytłumaczenie, że na reset haseł zdecydowano się praktycznie 2 tygodnie po fakcie.

[Dresiq 103]

Nie wiem czy akurat moje dane też gdzieś wyciekły, ale żadnego spamu nie dostaje, ani na mail, ani na sms, hasło na wszelki wypadek zmieniłem, peselu się tam nie podaje, więc z tymi danymi i tak nikt za bardzo nic nie zrobi. Wydaje mi się, że niektórzy robią z tego większą g.....burzę niż to warte, a teraz jeszcze zaczęli się czepiać opisów, jakby w innych sklepach nie robili w nich błędów.

 

 

Ja dostaję codziennie minimum 10 maili do linków z dziewczynami. Dopóki trafiały do spamu to było ok, teraz z 2-3 dziennie trafiają tam gdzie zwykłe wiadomości.

[BOLOYOO 0]

Ja mam pocztę w Yahoo i nigdy w życiu nie dostałem spamu do skrzynki odbiorczej.

[maslak 19]

Wybaczcie, ale powiem coś oczywistego.

 

Tak, jak mi się wydawało - po 1 mailu morele nie resetowalo haseł. Stare działały. Reset haseł po takiej akcji jest czymś co najmniej obowiązkowym. Nikt o tym nie zapomniał. Nikt tego nie uznał za zbędne. Po prostu w momencie wysyłania 1 maila, gdzie wspomniano, że luka została naprawiona a wyciek powstrzymany - baza dalej była w rękach złodzieja.

 

Dalej miał do niej dostęp i nie kłamał w rozmowie z dziennikarzem Z3S, że dane są dalej dostępne. To jest według mnie jedyne wytłumaczenie, że na reset haseł zdecydowano się praktycznie 2 tygodnie po fakcie.

Widzisz, a ja czytając po prostu te artkuły mam zgoła inne wrażenie.

 

Myśleli, że wyciszą aferę i dlatego nie chcieli restartować haseł, bo jakby poszedł reset wszystkich haseł to by się wydało.

 

Do tego w tym momencie sklep ten stracił całe zaufanie. Trzymanie danych bankowych, trzymanie danych z usuniętych kont.

 

Mam nadzieję, że na mocy RODO dowalą im taką karę, że się nie pozbierają.

[MitycznyJeż 476]

A skąd wiesz, które inne serwisy zasługują na Twoje zaufanie? Które z nich faktycznie usuwają dane, które faktycznie sprzątają dane już niepotrzebne?

 

Nie masz dostępu do kodu źródłowego serwisu, który przetwarza Twoje dane osobowe. Jak zażądasz wszystkich danych powiązanych z Tobą, to też nie masz gwarancji że Ci wszystko dostarczą.

 

Nic nie wiesz - potencjalnie każdy leci w kulki.

[adashi 1987]

Moim skromnym zdaniem morele było w potrzasku. Z pewnością zdawali sobie sprawę, że 15 BTC nie spowoduje zniweczenia chęci dodatkowego zarobienia na tej bazie. Aby to miało szansę zadziałać w taki sposób, w grę musiałyby zapewne wejść setki BTC, a pewności i tak żadnej.

 

Rynek powinien w jakiś sposób "ukarać" morele za to co się stało, bo tylko tak może to mieć rzeczywisty wpływ na przyszłość. Żadne prawne protezy typu rodo-srodo nie będą wg mnie miały mierzalnego wpływu na jakość zabezpieczenia danych, bo nikt się nimi tak naprawdę nie przejmuje, cały wysiłek i wszystkie działania są skierowane tylko na to aby przy minimum kosztów zminimalizować ryzyko dodatkowych wydatków na takie cele, a o to przy dość przeciętnej inteligencji twórców przepisów nie jest bardzo trudno. Tylko przykład eliminacji marki z rynku ma szansę dobrze zadziałać. Spółek mają w cholerę, jak mają także rozum już teraz powinni przygotowywać nową, rezerwową markę dla elektroniki, bo szansa, że marka "morele" będzie musiała pójść na śmietnik jest co najmniej kilkunastoprocentowa.

 

Ich konkurencja przecież nie śpi i kto wie czy za miesiąc albo dwa, na przeróżnych pudelkach informatycznych nie pojawią się dramatyczne relacje, do jakich to życiowych tragedii doprowadził morelowy wyciek.

Edytowane 28 Grudnia 2018 przez adashi

[Putout 17]

raczej ich to nie zaboli ale dla mnie są skresleni na amen. nawet nie za sam wyciek bo te się zdarzają i czasem bardzo trudno jest ich uniknąć. są dla mnie skresleni za bezmyślność i arogancję. gdyby zachowali zasady bezpieczeństwa to wzruszyłbym ramionami i tyle.

prędzej dopłace i wezmę coś z kilku sklepów niż dam im zarobić.

[Hafexo 7]

Złamano już 350tys haseł z 2mln.

Tu ciekawostka

Nawet jak usuniemy konto z morele i tak trzymają nasze dane.Więc jeśli przed atakiem to kiedyś zrobiliśmy też mogli je wykraść

 

Z tymi hasłami to nic dziwnego jak większość z nich to "ania123"

 

Ale to że po "usunięciu" konta nadal trzymają WSZYSTKIE nasze dane to jest jakiś nieśmieszny żart. Powinni za to beknąć bo to już nie jest niedopilnowanie bezpieczeństwa tylko łamanie obecnego prawa które to wspaniałe RODO nam gwarantuje.

Ja tak czy siak już u nich nic nie kupowałem bo cen nie mają konkurencyjnych jak kiedyś, a teraz tylko mnie zapewnili że nie warto z nimi trzymać.

[PrimoGhost 50]

Widzisz, a ja czytając po prostu te artkuły mam zgoła inne wrażenie.

 

Myśleli, że wyciszą aferę i dlatego nie chcieli restartować haseł, bo jakby poszedł reset wszystkich haseł to by się wydało.

Czas się nie zgadza. Kupa wpadła w wentylator na wykopie a później na Z3S. Morele wtedy poinformowało, a reset haseł poszedł po tygodniu. Ergo - zrobili to w momencie, jak dziurę załatali. Inaczej musieliby resetować hasła 2x a wtedy - no bez jaj.

 

Moim skromnym zdaniem morele było w potrzasku. Z pewnością zdawali sobie sprawę, że 15 BTC nie spowoduje zniweczenia chęci dodatkowego zarobienia na tej bazie. Aby to miało szansę zadziałać w taki sposób, w grę musiałyby zapewne wejść setki BTC, a pewności i tak żadnej.

 

Rynek powinien w jakiś sposób "ukarać" morele za to co się stało, bo tylko tak może to mieć rzeczywisty wpływ na przyszłość. Żadne prawne protezy typu rodo-srodo nie będą wg mnie miały mierzalnego wpływu na jakość zabezpieczenia danych, bo nikt się nimi tak naprawdę nie przejmuje, cały wysiłek i wszystkie działania są skierowane tylko na to aby przy minimum kosztów zminimalizować ryzyko dodatkowych wydatków na takie cele, a o to przy dość przeciętnej inteligencji twórców przepisów nie jest bardzo trudno. Tylko przykład eliminacji marki z rynku ma szansę dobrze zadziałać. Spółek mają w cholerę, jak mają także rozum już teraz powinni przygotowywać nową, rezerwową markę dla elektroniki, bo szansa, że marka "morele" będzie musiała pójść na śmietnik jest co najmniej kilkunastoprocentowa.

 

Ich konkurencja przecież nie śpi i kto wie czy za miesiąc albo dwa, na przeróżnych pudelkach informatycznych nie pojawią się dramatyczne relacje, do jakich to życiowych tragedii doprowadził morelowy wyciek.

 

Uważam, że to 15 BTC było jedną z ostatnich opcji, jakie morele "rozważało". Może o tym świadczyć fakt, że już w drugiej wiadomości do hakera próbowali zamieścić algorytm śledzący. Reszta konwersacji - typowa strategia operacyjna. Takie samo słownictwo, jak osoby żądającej - "rozmowa jak do kolegi".

Tak, robimy wszystko żeby zgromadzić pieniądze, wszyscy spinają dupy, gonią w tą i nazad. Szef jutro napisze. Potrzebujemy czasu. Żeby tylko trzymać typa "na linii" bo może coś sypnie.

Z tymi hasłami to nic dziwnego jak większość z nich to "ania123"

 

Ale to że po "usunięciu" konta nadal trzymają WSZYSTKIE nasze dane to jest jakiś nieśmieszny żart. Powinni za to beknąć bo to już nie jest niedopilnowanie bezpieczeństwa tylko łamanie obecnego prawa które to wspaniałe RODO nam gwarantuje.

Ja tak czy siak już u nich nic nie kupowałem bo cen nie mają konkurencyjnych jak kiedyś, a teraz tylko mnie zapewnili że nie warto z nimi trzymać.

Jeśli to jest niesmieszny żart, to co z faktem, że za pomocą usuniętego maila - można sobie zresetować hasło do usuniętego konta?

 

"Wiktor postanowił “przypomnieć” hasło dla tego dziwnego adresu e-mail na jaki otrzymał wiadomość z Morele …i mu się to udało. A po zalogowaniu zobaczył wszystkie swoje “niby-usunięte” dane osobowe"

 

Mi się skończyły stopniowania wulgarnych przymiotników. Muszę wymyślać nowe.

 

Co za zakuwajuby umysłowe. Albo - co za buczułajne debile.

 

A żeby ich za dupę ktoś za to chwycił... Szkoda, że pewnie 90 % tych użytkowników, których dane wyciekły - pewnie nawet nie wie dokładnie co się stało.

[PrimoGhost 50]

Do spamu nie poszedł? U mnie był w zakładce oferty. Raczej z automatu po/wysyłali

[PrimoGhost 50]

Uważaj, bo Ci jeszcze fejsa ukradną

[overcloked 9]

Uważaj, bo Ci jeszcze fejsa ukradną

Tylko SSO tak nie działa

[PrimoGhost 50]

Ironia również.

[DyndaS 522]

Morele to ładnie straci na całej tej akcji. Kupujący chętnie pójdą do innych sklepów. Chociaż ja i tak u nich prawie nic nie zamawiam, bo to nie jest sklep, który sprzedaje nowe rzeczy tylko outlet jako nowe. Chyba w przeciągu roku tylko jakieś takie totalne pierdoły tam kupiłem jak jakiś przewód optyczny i tyle. Albo na tym jednym przewodzie by się kończyło.

 

U mnie spamu na mailu nie więcej niż było wcześniej.

[Camis 7920]

Czyli za każdym razem go nie pamiętać i tworzyć konto od nowa ?

 

Istnieje coś takiego jak menedżery haseł, używam od 15 lat...

 

Do każdej strony losowe hasło 32 znakowe standardowo. To nawet jak baza jest plaintext to nic z tym hasłem nie zrobią.

 

Aktualnie używam Bitwarden.

[iziDeV 19]

Tyż wam pozmieniał hasła na kontach w morelkach ?

[Ajalotto 0]

każdemu ale i tak teraz to nic nie da bo już porozszyfrowali hasła wielu ludzi gdyby to zrobili przed wyciekiem albo na jego początku może to jeszcze by coś dało i aż takich szkód by nie było

[DisconnecT 3208]

Na razie głównie pękły słownikowe ścierwa która można kawałkiem deski rozszyfrować, te lepsze hasła dość długo będą się opierać metodzie bruteforce ale dla bezpieczeństwa pozmieniałem co trzeba.

 

Mam nadzieję, że na mocy RODO dowalą im taką karę, że się nie pozbierają.

 

Chyba sam nie wierzysz w to co piszesz

Edytowane 29 Grudnia 2018 przez DisconnecT

[Pan Ciastovy 119]

Jak usunięto użytkownika to da się go odzyskać?

 

To co jakiś pozew zbiorowy?

[overcloked 9]

To co jakiś pozew zbiorowy?

:lol2: to nie usa

[Ajalotto 0]

I tak sie obronią tym że zabezpieczenia były ale zostały złamane nic nie mogli zrobić i podjęli wszystkie kroki aby zminimalizować wyciek a sąd przyzna im racje bo tam siedzą dziadki co nawet nie umieją z youtuba korzystać.

 

Poza tym wiadomo że specjalnie tego wycieku nie zrobili więc za co sąd ma ich karać?

 

Sami to sobie zafundowali gównianymi zabezpieczeniami i myślę że odpowiednią karę wymierzą im konsumenci którzy przestaną tam cokolwiek kupować, żadna kara sądu nic nie da jak ludzie dalej będą brali stamtąd towar.

Edytowane 29 Grudnia 2018 przez Ajalotto

[BlackHorizon 0]

Złamane zabezpieczenia, źle się stało. Lecz bardziej bulwersujące jest według mnie, trzymanie tych "usuniętych".

To już jest świadome łamanie prawa i jawne walenie w ch..a. Dla mnie nie ma na to wytłumaczenia.

[PrimoGhost 50]

I tak sie obronią tym że zabezpieczenia były ale zostały złamane nic nie mogli zrobić i podjęli wszystkie kroki aby zminimalizować wyciek a sąd przyzna im racje bo tam siedzą dziadki co nawet nie umieją z youtuba korzystać.

 

Poza tym wiadomo że specjalnie tego wycieku nie zrobili więc za co sąd ma ich karać?

 

Sami to sobie zafundowali gównianymi zabezpieczeniami i myślę że odpowiednią karę wymierzą im konsumenci którzy przestaną tam cokolwiek kupować, żadna kara sądu nic nie da jak ludzie dalej będą brali stamtąd towar.

 

Normalnie wiem co by Gordon powiedział na tą wypowiedź. Ja po prostu przemilczę. A jak ktoś uważa, że sędzia w takiej sprawie wydaje wyrok na podstawie własnej wiedzy o sektorze IT i kryptografii, to współczuję.

 

A konsumenci w większości nawet nie wiedzą co się stało... Dopóki czegoś nie powiedzą w Wiadomościach czy Faktach to społeczeństwo w większości o niczym nie wie.

[Ajalotto 0]

Normalnie wiem co by Gordon powiedział na tą wypowiedź. Ja po prostu przemilczę. A jak ktoś uważa, że sędzia w takiej sprawie wydaje wyrok na podstawie własnej wiedzy o sektorze IT i kryptografii, to współczuję.

 

A konsumenci w większości nawet nie wiedzą co się stało... Dopóki czegoś nie powiedzą w Wiadomościach czy Faktach to społeczeństwo w większości o niczym nie wie.

 

 

no a co sąd może morelom zrobić? przecież to ktoś im dane wykradł a nie oni sami sobie, złodzieja sie poszukuje przecież a nie ofiary? :E

 

Apropos sądów to zobacz przesłuchanie CEO googla przez gościa

Edytowane 29 Grudnia 2018 przez Ajalotto