Cyberatak na 9000 sklepów internetowych. Eksperci ostrzegają: zastrzeż swój PESEL natychmiast

Zdjęcie: Wielki wyciek danych klientów z tysięcy e-sklepów. Hakerzy mają PESEL, adresy i numery telefonów | foto Pixabay

Z informacji ujawnionych przez firmę obsługującą polskie sklepy internetowe wynika, iż naruszenie bezpieczeństwa objęło około 9000 podmiotów działających na jednej platformie. Jak przekazał jej przedstawiciel:

„Szacujemy, iż incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym, w których nie przechowywano prawdziwych danych osobowych.”

Według ekspertów, zagrożeni są głównie klienci, którzy założyli konta użytkowników w sklepach działających na tej platformie. Osoby dokonujące zakupów bez rejestracji prawdopodobnie uniknęły ryzyka.

Jeden z poszkodowanych sklepów poinformował swoich klientów:

„Atakujący pobierał paczki danych, w których znajdowały się następujące dane: imię i nazwisko, e-mail, numer telefonu, adres pocztowy, dane do wystawienia faktury, informacja o domenie sklepu, do którego konto jest przypisane, i hash hasła, jeżeli było ono ustawione.”

Co dokładnie wyciekło i jakie są skutki?

Atakujący uzyskali dostęp do danych osobowych i kontaktowych klientów. Obejmowały one m.in. imię, nazwisko, adres e-mail, numer telefonu, a także dane adresowe i fakturowe. W niektórych przypadkach przejęto również hash hasła, czyli jego zaszyfrowaną wersję.

Firma zapewniła jednak, iż nie doszło do kradzieży informacji finansowych:
„Atakujący nie uzyskał dostępu m.in. do historii zamówień, danych kart płatniczych, numerów kont bankowych oraz samych haseł. Hash hasła użyty w systemie, z którego korzystamy, istotnie minimalizuje ryzyko odgadnięcia na jego podstawie hasła, natomiast nie wyklucza takiej możliwości. Dlatego jeżeli posiadasz konto w naszym sklepie, rekomendujemy zmianę hasła używanego w naszym sklepie, a także wszystkich innych miejscach, w których wykorzystane zostało takie samo hasło.”

Eksperci podkreślają, iż choć dane finansowe są bezpieczne, sama skala incydentu stwarza realne ryzyko dalszych ataków socjotechnicznych.

Jak doszło do włamania?

Przyczyną incydentu była podatność w komponencie webowym. To rzadko spotykany błąd, który pozwolił atakującym na pobieranie danych z wielu sklepów jednocześnie. Według analizy, pierwsze próby nieautoryzowanego dostępu miały miejsce w połowie października, a zespół bezpieczeństwa zareagował po kilku dniach.

Po zablokowaniu luki rozpoczęto analizę logów i wdrożono dodatkowe zabezpieczenia. Luka została załatana, ale dane klientów zdążyły opuścić serwery.

Specjaliści przypominają, iż systemy oparte na modelu SaaS są szczególnie wrażliwe — jeden błąd może otworzyć furtkę do tysięcy baz danych jednocześnie.

Równoległe cyberzagrożenia – od fałszywego banku po phishing urzędowy

To nie jedyny przypadek cyberataków, które dotknęły Polaków w ostatnim czasie. CSIRT KNF ostrzegł użytkowników przed fałszywą aplikacją bankową rozpowszechnianą poza oficjalnym sklepem Google Play. Osoby, które ją zainstalowały, nieświadomie przyznawały dostęp do danych kart płatniczych i komunikacji SMS, umożliwiając przestępcom przejęcie kont.

Z kolei CERT Polska poinformował o szerokiej kampanii phishingowej wymierzonej w jednostki samorządowe. Hakerzy podszywali się pod Ministerstwo Cyfryzacji, wysyłając wiadomości e-mail z załącznikiem Excel zawierającym link do złośliwego oprogramowania. W treści wiadomości znajdowały się również dane wiceministra Pawła Olszewskiego, co miało uwiarygodnić przekaz.

Rządowy serwis potwierdził, iż kampania miała charakter szeroko zakrojony i stanowiła poważne zagrożenie dla infrastruktury administracyjnej.

Jak zabezpieczyć się po wycieku danych?

Eksperci zalecają natychmiastowe podjęcie kilku kroków:

1. Zmień hasła we wszystkich serwisach, w których używasz tych samych danych logowania.
2. Zastrzeż PESEL – zapobiegniesz wykorzystaniu swoich danych do zaciągnięcia kredytu lub pożyczki.
3. Nie klikaj w podejrzane linki i nie otwieraj załączników z nieznanych źródeł.
4. Używaj silnych i unikalnych haseł, najlepiej zarządzanych przez menedżer haseł.
5. Włącz uwierzytelnianie dwuskładnikowe (2FA) tam, gdzie to możliwe.
6. Sprawdzaj adresy stron internetowych – instytucje korzystają z zabezpieczeń SSL (https).

Eksperci z Niebezpiecznika oraz CERT Polska przypominają, iż wycieki danych często prowadzą do dalszych oszustw – od phishingu po wyłudzenia kredytów i fałszywe kampanie SMS.

Dlaczego to nie koniec problemu

Wyciek danych z tysięcy sklepów to nie incydent jednorazowy, ale część szerszego trendu rosnącej liczby cyberataków. Dla przestępców dane osobowe są walutą, którą można wymienić na realne pieniądze.

Znając Twój e-mail, adres i numer telefonu, oszust może zainicjować atak podszywający się pod firmę kurierską, bank lub serwis zakupowy. Wystarczy chwila nieuwagi, by kliknięcie w link zakończyło się utratą pieniędzy.

Czujność – najskuteczniejsza obrona

Specjaliści nie mają wątpliwości – żadne systemy nie są całkowicie odporne na włamania. Jedyną skuteczną strategią ochrony jest świadomość zagrożeń i szybka reakcja.

Zmiana haseł, zastrzeżenie PESEL-u oraz ograniczone zaufanie do wiadomości z nieznanych źródeł to w tej chwili podstawowe zasady cyfrowego bezpieczeństwa. W erze, gdy każde kliknięcie może kosztować tysiące złotych, ostrożność staje się nie wyborem, ale obowiązkiem.