Cztery firmy jednego dnia poinformowały o wycieku danych swoich klientów – to popularne w Polsce marki New Balance, Ochnik, W.Kruk i Street Style 24. W żadnym wypadku nie jest to przypadek – wszystkie one korzystają bowiem ze wsparcia jednego partnera technologicznego i to jego system właśnie padł ofiarą cyberataku.
Dane Polaków trafiły w niepowołane ręce
Dwie firmy – New Balance i Ochnik – wystosowały oficjalne komunikaty. To z nich dowiadujemy się, że źródłem problemów jest atak na infrastrukturę informatyczną niewymienionego z nazwy „partnera technologicznego”. Informację o naruszeniu otrzymano 18 września 2024 roku.
„Osoby nieuprawnione uzyskały dostęp do jednego z technicznych kont, które normalnie nie miało szerokich uprawnień. Wykorzystując lukę bezpieczeństwa, atakujący uzyskali dostęp do plików z danymi naszych klientów” – czytamy w jednym i drugim komunikacie.
Co konkretnie wyciekło?
Dane, do jakich dostęp uzyskali atakujący, to: imiona, nazwiska, adresy e-mail, numery telefonów oraz adresy dostaw. Równocześnie analiza wykazała, że najprawdopodobniej nie doszło do wycieku haseł ani innych danych dostępowych, co bez wątpienia jest pozytywną informacją.
Kolejna dobra wiadomość jest taka, że natychmiast po wykryciu incydentu wdrożono środki zapobiegawcze. Po pierwsze: zablokowano dostęp do systemu. Po drugie: podjęto działania mające na celu eliminację luki, stanowiącej źródło problemu. Zgodnie z przepisami sprawa została też zgłoszona Prezesowi Urzędu Ochrony Danych Osobowych.
To w takim razie jakie mogą być konsekwencje tego ataku? Największym zagrożeniem wydaje się phishing – cyberprzestępcy mogą próbować wyłudzić dane, podając się za przedstawicieli wyżej wymienionych firm (wiedza, że wcześniej dana osoba robiła tam zakupy, pozwala zwiększać wiarygodność).
Rada jest właściwie tylko jedna
Najlepszą radą, jaką można wobec tego dać, jest ta, by zachować szczególną ostrożność podczas przeglądania skrzynki odbiorczej oraz odbierania telefonów z nieznanych numerów. Nie klikaj linków ani nie podawaj swoich danych osobowych – firmy nie wymagają tego od swoich klientów. W przypadku zaś, gdy zauważysz jakąś podejrzaną aktywność, czym prędzej zgłoś to policji.