łąd został odkryty przypadkowo przez użytkownika o pseudonimie Norsu, który próbował złożyć wniosek ratalny. Zauważył problemy z datami w formularzu i postanowił przyjrzeć się bliżej mechanizmowi działania strony. gwałtownie okazało się, iż poprzez manipulację URL-em można poznać dane innych klientów – również tych, którzy dawno już dokonali zakupów.

Reakcja Morele.net

Na szczęście redaktor, do którego zgłoszono problem, miał bezpośredni kontakt z działem IT sklepu. Błąd został zgłoszony w sobotę około godziny 16:27, a już o 18:46 luka została załatana. Reakcja była szybka i profesjonalna.

W oświadczeniu przesłanym do mediów Morele.net poinformowało:

„Podatność została potwierdzona i usunięta w ciągu 2 godzin od jej zgłoszenia. Analiza wykazała, iż ewentualne wykorzystanie podatności było ograniczone i wymagało jednoczesnego spełnienia kilku warunków – posiadania konta użytkownika, zalogowania się do systemu oraz wpisania numeru zamówienia.”

Firma zaznaczyła, iż nie odnotowano nieuprawnionego wykorzystania luki poza przypadkiem odpowiedzialnego ujawnienia.

Czy dane były zagrożone?

Choć oficjalnie nie doszło do masowego wycieku, fakt, iż luka istniała, jest bardzo niepokojący. Co więcej – błąd umożliwiał dostęp do danych choćby sprzed wielu lat, co pokazuje brak odpowiednich ograniczeń czasowych lub usuwania niepotrzebnych danych.

Komentarz redakcyjny

Dla przypomnienia – pod koniec 2018 roku doszło do jednego z największych wycieków danych w Polsce, kiedy hakerzy wykradli dane ponad 2 milionów klientów Morele.net. Mimo tamtej lekcji, w 2025 roku firma wciąż boryka się z poważnymi lukami.

To zdarzenie powinno być przestrogą dla całej branży e-commerce – niezależnie od wcześniejszych incydentów, bezpieczeństwo danych nie jest „jednorazowym” procesem, ale nieustannym obowiązkiem.

Źródło: zaufanatrzeciastrona