Dane klientów wyciekły z trzech sklepów. Imiona, nazwiska, adresy e-mail i korespondencyjne oraz zaszyfrowane hasła

W ostatnich dniach doszło do poważnego naruszenia bezpieczeństwa danych osobowych klientów kilku popularnych sklepów internetowych dla biegaczy i rowerzystów. Firma RUNSPORT S.C., właściciel marek sklepdlabiegaczy.pl, runsport.pl i cycleshop.pl, poinformowała o „nieautoryzowanym dostępie do serwera sklepu przez osobę nieuprawnioną poprzez złamanie zabezpieczeń”.

Fot. DALL·E 3 / Warszawa w Pigułce

O sprawie informuje serwis Niebezpiecznik.pl, który dostał dane od swoich użytkowników. Incydent miał miejsce 20 czerwca 2024 roku i dotyczył zaszyfrowanej kopii bazy danych sklepu internetowego. Hakerzy mogli uzyskać dostęp do takich informacji jak imiona, nazwiska, adresy e-mail, adresy korespondencyjne oraz zaszyfrowane hasła klientów. Firma podkreśla, iż dane kart płatniczych nie zostały naruszone, gdyż są one przechowywane przez zewnętrznego pośrednika płatności.

W związku z tym incydentem, firma rozesłała do swoich klientów wiadomość zatytułowaną „Zawiadomienie o możliwym naruszeniu ochrony danych osobowych”. W komunikacie tym szczegółowo opisano charakter naruszenia, podjęte działania oraz potencjalne konsekwencje dla klientów.

Firma ostrzega, iż skradzione dane mogą zostać wykorzystane do prób phishingu, podszywania się pod klientów w celu rejestracji usług lub założenia kont w serwisach społecznościowych, a choćby do prób zawarcia umów cywilno-prawnych na szkodę poszkodowanych.

W ramach środków ostrożności, RUNSPORT S.C. zaleca klientom:
1. Ignorowanie nieoczekiwanych wiadomości, szczególnie tych namawiających do podjęcia dodatkowych działań.
2. Zachowanie szczególnej ostrożności przy podawaniu danych osobowych, zwłaszcza przez internet czy telefon.
3. Zmianę haseł na stronach i serwisach internetowych, jeżeli były one tożsame z hasłem używanym w sklepie.

Dodatkowo, firma sugeruje rozważenie wykupienia abonamentu w BIK (Biurze Informacji Kredytowej) w celu monitorowania wykorzystania danych osobowych oraz zastrzeżenie numeru PESEL.

Jak zauważa serwis niebezpiecznik.pl, zalecenie zastrzeżenia numeru PESEL może być nadmiarowe, gdyż zakres wykradzionych danych nie obejmował numerów PESEL ani innych informacji, które mogłyby posłużyć do operacji, przed którymi chroni zastrzeżenie PESEL-u. Niemniej jednak, eksperci ds. bezpieczeństwa cybernetycznego podkreślają, iż w obecnych czasach, gdy do wycieków danych dochodzi regularnie, zastrzeżenie PESEL-u jest dobrą praktyką bezpieczeństwa.

Incydent ten jest kolejnym przypomnieniem o konieczności zachowania czujności w sieci i regularnego aktualizowania haseł. Pokazuje również, jak ważne jest dla firm inwestowanie w solidne zabezpieczenia systemów przechowujących dane klientów.

Oprócz środków bezpieczeństwa zalecanych przez firmę, warto podjąć dodatkowe kroki, aby zabezpieczyć się przed potencjalnymi konsekwencjami wycieku danych

1. Włącz dwuskładnikowe uwierzytelnianie (2FA) we wszystkich ważnych serwisach, zwłaszcza w poczcie elektronicznej i mediach społecznościowych. To znacznie utrudni hakerom dostęp do Twoich kont, choćby jeżeli poznają hasło.
2. Używaj menedżera haseł, aby generować i przechowywać unikalne, silne hasła dla wszystkich serwisu. Dzięki temu wyciek hasła z jednego serwisu nie zagrozi pozostałym kontom.
3. Regularnie monitoruj swoje konta bankowe i karty kredytowe pod kątem podejrzanych transakcji. W przypadku zauważenia czegoś nietypowego, natychmiast skontaktuj się z bankiem.
4. Bądź szczególnie czujny na phishing. Unikaj klikania w linki w e-mailach lub SMS-ach, choćby jeżeli wydają się pochodzić od zaufanych firm. Zamiast tego, wchodź na strony internetowe bezpośrednio przez przeglądarkę.
5. Rozważ skorzystanie z usługi monitorowania dark webu, która może alertować Cię, jeżeli Twoje dane pojawią się w nielegalnym obiegu.
6. Aktualizuj regularnie systemy operacyjne i oprogramowanie na wszystkich swoich urządzeniach. Wiele ataków wykorzystuje znane luki w zabezpieczeniach.
7. Rozważ użycie wirtualnej karty kredytowej do zakupów online. Takie karty generują unikalny numer dla każdej transakcji, co utrudnia wykorzystanie skradzionych danych.
8. Bądź ostrożny w mediach społecznościowych. Ogranicz ilość osobistych informacji, które udostępniasz publicznie, gdyż mogą one być wykorzystane do personalizacji ataków phishingowych.
9. Jeśli to możliwe, usuń swoje konto z serwisów, których już nie używasz. Im mniej aktywnych kont online, tym mniejsze ryzyko.
10. Edukuj się na temat najnowszych zagrożeń i technik cyberbezpieczeństwa. Świadomość zagrożeń to połowa sukcesu w obronie przed nimi.

Pamiętaj, iż cyberbezpieczeństwo to ciągły proces. Regularne przeglądy i aktualizacje swoich praktyk bezpieczeństwa są najważniejsze w ochronie przed coraz bardziej zaawansowanymi zagrożeniami.