Społeczeństwo

Wyciekły dane milionów klientów Empiku, „47GB danych”. Co nam grozi i jak się zabezpieczyć?

Przez Adam Kubaty (peakhunter) 3 min czytania 517

Robi się głośno wokół wycieku danych z polskiego giganta e-commerce Empik – dzisiaj w godzinach porannych na forum dla cyberprzestępców człowiek o pseudonimie Alcxtraze przechwalał się „trzydniową” bazą liczącą według jego deklaracji nawet 24–25 milionów rekordów klientów popularnej sieci. Zrzuty ekranu, próbki danych, spekulacje dotyczące zasobów o objętości 47 GB – nasze dane mogły zostać bezczelnie wystawione na sprzedaż, a sam Empik wystosował już specjalne oświadczenia. Czy jesteśmy w niebezpieczeństwie?

Dane z Empiku na sprzedaż. Co tam się znajduje?

Cyberprzestępca zapewnia, iż posiadane przez niego dane to:

  1. Imię, nazwisko, adres e-mail, numer telefonu,
  2. Adres zamieszkania, kod pocztowy,
  3. Nazwa użytkownika (login),
  4. Informacje o zamówieniach: liczba, daty, lista produktów,
  5. Szczegóły dotyczące sprzedawców, cen, rabatów, reklam,
  6. Dane kontaktowe i preferencje zakupowe,
  7. Potencjalnie ID produktów i linki do zdjęć.

Jest też wzmianka o rzekomej historii zakupów, liczbie zamówień, a w próbkach pojawiają się dość precyzyjne daty (sięgające nawet 2017 roku) i konkretne kategorie produktowe (hulajnogi elektryczne, opony rowerowe, asortyment e-commerce).

Nie wygląda jednak na to, by hasła (czy chociażby ich hashe) były uwzględnione w tej wykradzionej próbce. Jeden z użytkowników, który dotarł do fragmentu bazy, podkreśla, że „próbka nie zawiera haseł, a strukturą może przypominać raczej system reklamowy lub partnerski”.

Biuro prasowe najpierw podsyca, potem studzi emocje

Na platformie X (dawniej Twitter) rozpętała się burzliwa dyskusja. Serwisy parające się cyberbezpieczeństwem skontaktowały się z Empikiem w celu potwierdzenia że nie mamy do czynienia z fałszywką. Pierwotny komunikat z profilu Rzecznika sieci brzmiał następująco:

„Mamy oczywiście świadomość tej sytuacji. Ochrona danych naszych klientów jest bezsprzecznie naszym priorytetem, dlatego natychmiast zareagowaliśmy i od godzin porannych weryfikujemy podejrzenia wystąpienia incydentu bezpieczeństwa. Współpracujemy również w tej sprawie z CERT.”

Empik

Kilkanaście chwil później przyszła kolejną wiadomość, w której rzecznik Empiku wyjaśniła szerzej wątpliwości dotyczące autentyczności danych:

„Nadal trwa weryfikacja wspomnianych wcześniej podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemie Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach. Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze. Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.”

Taki komentarz przyniósł spore ochłodzenie emocji, choć nie rozwiało to w pełni podejrzeń, że wyciek – jeśli nawet nie pochodzi z bezpośrednich serwerów Empiku – może pochodzić od partnera, pośrednika czy z platformy reklamowej.

Niebezpiecznik.pl przytacza dodatkowo uwagę, że niektóre kolumny w próbce mają nazwy wskazujące na system reklamy czy remarketingu, co może oznaczać, iż dane (prawdopodobnie sfuzjowane z publicznie dostępnymi informacjami o produktach Empiku) wypłynęły z innej infrastruktury niż główna baza klientów.

Niezależnie od tego, czyj to system – co mogą zrobić użytkownicy?

Eksperci ds. cyberbezpieczeństwa zalecają mimo wszystko:

  1. Zmieniaj hasła (szczególnie jeżeli używasz identycznych na różnych platformach).
  2. Włącz 2FA (dwuskładnikowe uwierzytelnianie) wszędzie, gdzie to możliwe – nawet jeśli ktoś zna hasło, nie zaloguje się bez dodatkowego kodu.
  3. Obserwuj wiadomości pod kątem phishingu (SMS-y, e-maile, telefony), zwłaszcza że przestępcy będą mogli personalizować ataki (mają imię, nazwisko, a czasem numer).
  4. Monitoruj rachunki bankowe i powiadomienia (zwracaj uwagę na obce transakcje, nietypowe logowania).
  5. Pomyśl o zastrzeżeniu numeru PESEL (od 2023 r. można tego dokonać przez gov.pl).

Jak podkreśla redakcja jednego z serwisów: „Dane wyciekały, wyciekają i wyciekać będą. Jedyny sposób to nauczyć się odpowiednich zachowań oraz korzystać z dobrodziejstw menedżerów haseł i usług monitorujących wycieki”.

Z dużej chmury mały deszcz?

Zatem, choć dramatycznie wygląda liczba „24–25 milionów rekordów” przy rozmiarze 47 GB, to obecne, oficjalne stanowisko Empiku raczej uspokaja – wszystko może wskazywać na nieszczelność w systemie zewnętrznym, a nie bezpośrednio w infrastrukturze sklepu. Co nie zmienia faktu, że „sprawdzamy i reagujemy” pozostaje jedyną właściwą ścieżką dla wszystkich klientów.

Póki co, rekomendacje bezpieczeństwa warto potraktować poważnie i wzmóc czujność na wszelkie próby naciągania. Lepiej być przesadnie ostrożnym, niż wpaść w pułapkę – te słowa powtarzają eksperci od lat, i dziś wybrzmiewają wyraźniej niż kiedykolwiek wcześniej.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Adam Kubaty (peakhunter)

Redaktor naczelny BitHub.pl. Trader, analityk, dziennikarz. Absolwent Uniwersytetu Ekonomicznego w Krakowie, aktywny na rynkach finansowych od 15 lat. Blockchain interesuje mnie jako intersekcja finansów i technologii oraz naturalna ewolucja obu systemów.

Zostaw komentarz

Twój adres e-mail nie będzie opublikowany.