Włamania i wycieki danych to dla sklepów internetowych bardzo niepożądane wydarzenia. Niestety, co jakiś czas dowiadujemy się o nowych incydentach tego typu. Tym razem padło na popularny sklep z artykułami fotograficznymi Cyfrowe.pl.
Włamanie
Maile z informacją o włamaniu zostały rozesłane po godzinie 23 (do mnie dotarł dokładnie o 23:18). Co z nich wynika? Otóż „w wyniku celowego działania osób trzecich” doszło do wycieku danych dostępowych do sklepu, czyli adresów email i haseł, a także – być może – danych osobowych i adresowych używanych do realizacji zamówień, oraz samych zamówień.
Według dalszych informacji podanych przez Cyfrowe.pl, na szczęście nie doszło do ujawnienia numerów kart płatniczych, przelewów i danych z wniosków ratalnych, gdyż sklep ich nie przechowuje – są one w wyłącznej gestii banków i operatorów pośredniczących w płatnościach.
Dokładna liczba poszkodowanych nie jest w tej chwili znana – należy zakładać, że może chodzić o wszystkich użytkowników. Hasła dostępowe zostały zresetowane i aby dostać się na swoje konto klienta, należy przeprowadzić procedurę odzyskania hasła.
Zabezpieczenie i na co zwrócić uwagę
Minimum działań, jakie musimy jako klienci podjąć, to ustawienie nowego hasła. Niestety, jeśli dotychczasowe nie było unikalne (warto to dokładnie sprawdzić), to czekają nas także zmiany w innych miejscach – i lepiej, by nowe hasła już nie były takie same. Jeżeli mamy problem z pomysłami albo z ich zapamiętywaniem, warto skorzystać ze sprawdzonego managera, takiego jak LastPass czy 1Password. Każdy z nich ma bardzo przydatny generator losowych haseł.
Koniecznie należy zwracać uwagę na to, co przychodzić będzie na naszą skrzynkę pocztową – szczególnie na maile podszywające się pod sklep i próbujące przekonać nas do podawania jakichś danych lub do kliknięcia w link. Ponieważ nie sposób wykluczyć, że dane o wartości zamówień mogą zostać wykorzystane przez przestępców także do wyboru łakomych celów do bardziej klasycznych kradzieży z włamaniem, warto zwrócić szczególną uwagę na zabezpieczenie sprzętu, zwłaszcza jeśli przechowywany jest podczas obecnego lockdownu bez nadzoru.
Zgodnie z informacjami Cyfrowe.pl, sklep podjął wymagane prawem działania zmierzające do zabezpieczenia swojej infrastruktury i dowodów przestępstwa. Przy tej skali wycieku należy się jednak spodziewać, że także UODO wkroczy do akcji.
Na stronie sklepu pojawił się oficjalny komunikat dotyczący wycieku danych. Zgodnie z nim nie same hasła wpadły w niepowołane ręce, gdyż są przechowywane w zaszyfrowanej formie, lecz ich hashe. W tym momencie potwierdzone zostały jako złamane wyłącznie hasła proste, możliwe do złamania metodą słownikową. Pełen tekst informacji znajdziecie TUTAJ.
Źródło: własne