Uwaga! Ogromny wyciek danych z polskich e-sklepów. Hakerzy mają imiona, adresy i numery telefonów

Zdjęcie: Wielki wyciek danych klientów z tysięcy e-sklepów. Hakerzy mają PESEL, adresy i numery telefonów | foto Pixabay

Jak podano w oficjalnym komunikacie, doszło do naruszenia bezpieczeństwa w systemie, z którego korzystają tysiące polskich sklepów internetowych. Według przedstawiciela platformy:

„Szacujemy, iż incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym, w których nie przechowywano prawdziwych danych osobowych.”

Eksperci podkreślają, iż tego typu incydenty są szczególnie groźne, ponieważ jeden błąd w systemie SaaS pozwala cyberprzestępcom na dostęp do tysięcy niezależnych baz danych.

Ujawnione informacje obejmują: imiona, nazwiska, adresy e-mail, numery telefonów, adresy korespondencyjne oraz dane do wystawienia faktur. W niektórych przypadkach wykradziono również hash hasła, czyli zakodowaną wersję hasła użytkownika.

Jeden z właścicieli sklepu przyznał:

„Atakujący pobierał paczki danych, w których znajdowały się następujące dane: imię i nazwisko, e-mail, numer telefonu, adres pocztowy, dane do wystawienia faktury, informacja o domenie sklepu, do którego konto jest przypisane, i hash hasła, jeżeli było ono ustawione.”

Co się stało i jak do tego doszło?

Zespół techniczny platformy zidentyfikował przyczynę w rzadkiej podatności w komponencie webowym. To ona umożliwiła włamywaczowi pobieranie danych z serwerów obsługujących różne sklepy.
Specjaliści informują, iż włamanie rozpoczęło się w połowie października, a nietypowy ruch sieciowy wykryto dopiero kilka dni później. Gdy system monitoringu zareagował, zablokowano źródło wycieku i rozpoczęto analizę forensyczną.

To klasyczny przykład, jak luka w jednym miejscu może stać się furtką do tysięcy baz danych w architekturze SaaS.

Uspokajający, ale niepokojący komunikat

W wiadomościach wysłanych do klientów sklepów znalazł się fragment:
„Atakujący nie uzyskał dostępu m.in. do historii zamówień, danych kart płatniczych, numerów kont bankowych oraz samych haseł. Hash hasła użyty w systemie, z którego korzystamy, istotnie minimalizuje ryzyko odgadnięcia na jego podstawie hasła, natomiast nie wyklucza takiej możliwości. Dlatego jeżeli posiadasz konto w naszym sklepie, rekomendujemy zmianę hasła używanego w naszym sklepie, a także wszystkich innych miejscach, w których wykorzystane zostało takie samo hasło.”

Eksperci ds. bezpieczeństwa nie mają złudzeń – jeżeli użytkownik korzysta z jednego hasła w wielu miejscach, ryzykuje włamanie nie tylko do sklepu, ale także do poczty, kont bankowych czy serwisów społecznościowych.

Fałszywe aplikacje i podszywanie się pod urzędy

W tym samym czasie w polskim internecie pojawiła się fala innych zagrożeń. CSIRT KNF poinformował o złośliwej aplikacji podszywającej się pod SGB Bank. Była ona rozprowadzana poza oficjalnym sklepem i po zainstalowaniu żądała nadania uprawnień administratora. W rzeczywistości służyła do kradzieży danych kart płatniczych i przejęcia dostępu do telefonu ofiary.

Z kolei CERT Polska ostrzegł przed kampanią phishingową wymierzoną w jednostki samorządowe. Hakerzy podszywali się pod Ministerstwo Cyfryzacji i wysyłali wiadomości zawierające plik Excel z linkiem do złośliwego programu. Po jego uruchomieniu komputer zostawał zainfekowany, a dane urzędowe mogły zostać przejęte.

Rządowy serwis potwierdził te ostrzeżenia, dodając, iż przestępcy wykorzystywali także nazwisko wiceministra Pawła Olszewskiego.

Jak reagować po wycieku danych?

Eksperci radzą, by działać natychmiast.

1. Zmień hasła wszędzie tam, gdzie używasz tych samych danych logowania.
2. Zastrzeż numer PESEL – to zapobiegnie wyrobieniu karty SIM lub zaciągnięciu kredytu na Twoje dane.
3. Nie klikaj w linki z wiadomości SMS lub e-mail, choćby jeżeli wydają się wiarygodne.
4. Sprawdzaj certyfikaty stron – bank czy urząd nigdy nie prosi o dane karty w linku przesłanym SMS-em.
5. Nie instaluj aplikacji spoza oficjalnych sklepów.
6. Włącz uwierzytelnianie dwuskładnikowe w serwisach, które oferują taką opcję.

Jak zauważają specjaliści z Niebezpiecznika, warto również monitorować swoje dane i regularnie sprawdzać, czy nie pojawiły się w publicznych bazach wycieków.

Dlaczego to nie tylko problem sklepów internetowych

Wyciek danych to dopiero początek. Gdy przestępcy zdobędą Twój adres e-mail, numer telefonu czy dane adresowe, mogą rozpocząć atak socjotechniczny – podszyć się pod bank, firmę kurierską lub administrację publiczną.
Wtedy zaczynają się telefony, SMS-y i e-maile, które wyglądają wiarygodnie, bo zawierają Twoje prawdziwe dane.

Z tego powodu najważniejszym działaniem jest szybka reakcja: zmiana haseł i zabezpieczenie danych osobowych, zanim trafią na czarny rynek.