W nocy z 26 na 27 sierpnia na skrzynki mailowe klientów kilku internetowych sex-shopów trafiły wiadomości z żądaniem okupu. Pochodziły od cyberprzestępcy, który zdołał udowodnić, że znajduje się w posiadaniu nazwisk i adresów ofiar oraz listy produktów, które kupili. Obiecał skasowanie tych informacji, ale nie za darmo.
Wyciek danych z sex-shopów w Polsce
Wiadomości zaczynają się od treści:
Rozległe wycieki danych z AtomStore, Sote, RedCart, Selly w tym sklepów internetowych sensu[.]pl, sekrecik[.]pl, erozkosz[.]pl, kraina-doznan[.]pl są skutkiem rażącego niedbalstwa, ignorancji i niskiej jakości kodu programistycznego platform ecommerce. Od kilku miesięcy o wyciekach kodów źródłowych oraz danych można przeczytać w sieci. Wymienione sklepy internetowe i platformy ecommerce wiedzą o wyciekach, nie były zainterestowane współpracą. Dotychczas żadne dane nie zostały przeze mnie opublikowane i zamierzam to zmienić.
Cyberprzestępca żąda 500 złotych od każdej ofiary – w zamian za usunięcie danych z wykradzionych baz, które zamierza udostępnić publicznie w niezbyt odległej przyszłości. Sprawa dotyczy klientów kilku różnych sklepów działających w Polsce. Włamywacz chce, by użytkownicy przesłali pieniądze na jego portfel Bitcoin i daje im na to kilka tygodni – termin mija 1 października 2024 roku.
Co robić?
O sprawie poinformował serwis Niebezpiecznik, który otrzymał kilkadziesiąt zgłoszeń w tym temacie. Dzięki temu udało się potwierdzić, że wyciek jest prawdziwy. Czy wobec tego należy podejść do sprawy poważnie? Tak, ale…
Odradzam opłacanie okupu. Po pierwsze: nie ma żadnej pewności, że cyberprzestępca wywiąże się z tej „dżentelmeńskiej umowy”. Po drugie: jeśli zapłaci się raz, to zaraz można otrzymać kolejną próbę szantażu. Wreszcie po trzecie: wcale nie jest powiedziane, że wykradzione z sex-shopów dane znajdują się w posiadaniu tylko tego jednego włamywacza.
Co zatem robić? Usunięcie kont w wymienionych sklepach może być dobrym pierwszym krokiem. Zmiana haseł w innych serwisach (jeśli są takie same) również jest niegłupim pomysłem. Poza tym jednak trzeba się pogodzić z tym, że mleko się rozlało. Jeśli cyberprzestępca będzie chciał upublicznić te dane, to po prostu to zrobi.
Każdy może z tego wyciągnąć lekcję na przyszłość
Jeśli nie chcesz, by o Twoich zakupach ktoś się dowiedział, wybierz sklep stacjonarny i zapłać gotówką. Jeśli już musisz robić to przez internet, użyj tymczasowego adresu e-mail i zamów dostawę do automatu paczkowego. Dobrą praktyką jest też skorzystanie w takim przypadku z VPN-u. Pamiętaj też o najważniejszych zasadach bezpiecznego korzystania z sieci.