To jedna z największych takich sytuacji w ostatnich miesiącach, a jej skutki mogą odczuć zarówno klienci, jak i sprzedawcy.
Wyciek danych z tysięcy sklepów internetowych
Z oficjalnych informacji wynika, że problem dotyczy około 9 000 sklepów internetowych, które korzystają z jednej platformy e-commerce. Jak przekazał przedstawiciel firmy:
„Szacujemy, że incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym, w których nie przechowywano prawdziwych danych osobowych.”
Zagrożenie nie dotyczyło jednak wszystkich kupujących. Wyciek objął wyłącznie osoby, które posiadały konta klientów. Ci, którzy dokonywali zakupów bez rejestracji, mogą czuć się bezpieczniej.
Jeden z poszkodowanych sklepów przyznał:
„Atakujący pobierał paczki danych, w których znajdowały się następujące dane: imię i nazwisko, e-mail, numer telefonu, adres pocztowy, dane do wystawienia faktury, informacja o domenie sklepu, do którego konto jest przypisane, i hash hasła, jeśli było ono ustawione.”
Wyciek obejmuje zatem dane osobowe, adresowe i kontaktowe – a w niektórych przypadkach także zaszyfrowane hasła użytkowników.
Co wyciekło, a co pozostało bezpieczne
W oficjalnym komunikacie wysłanym do klientów sklepów pojawiło się zapewnienie, że przestępcy nie uzyskali dostępu do wrażliwych informacji finansowych:
„Atakujący nie uzyskał dostępu m.in. do historii zamówień, danych kart płatniczych, numerów kont bankowych oraz samych haseł. Hash hasła użyty w systemie, z którego korzystamy, istotnie minimalizuje ryzyko odgadnięcia na jego podstawie hasła, natomiast nie wyklucza takiej możliwości. Dlatego jeśli posiadasz konto w naszym sklepie, rekomendujemy zmianę hasła używanego w naszym sklepie, a także wszystkich innych miejscach, w których wykorzystane zostało takie samo hasło.”
Eksperci tłumaczą, że choć hasła nie wyciekły wprost, to tzw. hash – czyli ich zakodowana forma – może zostać złamany przy użyciu specjalistycznych narzędzi. Stąd zalecenie, by natychmiast zmienić hasło nie tylko w sklepie, ale wszędzie tam, gdzie użytkownik używał tej samej kombinacji.
Jak doszło do włamania?
Według analizy specjalistów, przyczyną ataku był błąd w komponencie webowym. Luka umożliwiła pobieranie danych bez autoryzacji, co w przypadku platformy obsługującej tysiące sklepów miało ogromne konsekwencje.
Atak rozpoczął się w październiku. System bezpieczeństwa wykrył nieprawidłowe żądania dopiero po kilku dniach. Po zablokowaniu luki firma rozpoczęła szczegółową analizę incydentu.
Eksperci zwracają uwagę, że tego typu sytuacje są typowe dla usług SaaS, które oferują jednym serwerem obsługę tysięcy podmiotów. Wystarczy pojedyncza luka, by narazić ogromną liczbę użytkowników.
Kolejne ataki w polskiej sieci – od fałszywego banku po podszywanie się pod ministerstwo
Niestety, ten przypadek to nie jedyne cyberzagrożenie w ostatnich dniach. CSIRT KNF ostrzegł przed złośliwą aplikacją podszywającą się pod SGB Bank, która była dystrybuowana poza oficjalnym sklepem Google Play. Po instalacji użytkownicy proszeni byli o przyznanie szerokich uprawnień, co umożliwiało aplikacji dostęp do danych kart płatniczych i wiadomości SMS.
Z kolei CERT Polska poinformował o kampanii phishingowej skierowanej przeciwko jednostkom samorządowym. Przestępcy wysyłali wiadomości stylizowane na urzędową korespondencję z Ministerstwa Cyfryzacji, w tym z nazwiskiem wiceministra Pawła Olszewskiego. W załączniku znajdował się plik Excel zawierający link prowadzący do złośliwego programu.
Rządowy serwis potwierdził ostrzeżenie i apelował, by nie otwierać załączników ani nie klikać w linki z nieznanych źródeł.
Jak chronić swoje dane po wycieku
Eksperci ds. cyberbezpieczeństwa rekomendują kilka kluczowych kroków:
- Zmień wszystkie hasła, zwłaszcza jeśli powtarzasz je w różnych serwisach.
- Zastrzeż numer PESEL – pozwoli to uniknąć np. wyrobienia duplikatu karty SIM.
- Nie klikaj w linki z wiadomości SMS ani e-mail, nawet jeśli pochodzą z pozornie znanych adresów.
- Nie instaluj aplikacji spoza oficjalnych sklepów.
- Włącz uwierzytelnianie dwuskładnikowe (2FA), by zabezpieczyć swoje konta.
- Sprawdzaj domeny stron – autentyczne instytucje używają wyłącznie bezpiecznego protokołu „https”.
Specjaliści z Niebezpiecznika zalecają również monitorowanie swoich danych w sieci – można to zrobić poprzez dostępne serwisy, które informują, czy Twój adres e-mail nie został ujawniony w publicznych bazach wycieków.
Wyciek danych to dopiero początek
Utrata danych osobowych to nie tylko spam i reklamy. To otwarte drzwi do kradzieży tożsamości, podszywania się pod ofiarę czy wyłudzania pieniędzy.
Przestępcy wykorzystują fakt, że znają imię, adres i numer telefonu, by wysyłać spreparowane wiadomości – np. o dopłacie do przesyłki, nieopłaconym rachunku lub blokadzie konta.
Najgroźniejsze są jednak fałszywe telefony z „banku”, podczas których oszuści potrafią cytować prawdziwe dane ofiary. Dlatego każdą taką rozmowę należy natychmiast przerwać i oddzwonić na oficjalny numer banku.
Komentarze (0)