Kolejny cios w prywatność polskich konsumentów. Tym razem ofiarą cyberprzestępców padli klienci popularnych sklepów internetowych, a skala incydentu zaskoczyła nawet specjalistów od bezpieczeństwa. Plik z danymi pojawił się na forum, które od dawna stanowi giełdę wykradzionych informacji, a zawartość przekroczyła najśmielsze prognozy samego włamywacza – informuje portal cyberdefence24.pl.
Wpis na forum hakerskim. W nim dane 130 tys. Polaków
Wszystko zaczęło się 13 kwietnia, kiedy na jednym z zamkniętych forów wykorzystywanych przez środowisko cyberprzestępcze pojawiło się ogłoszenie o kradzieży bazy danych. Autor chwalił się, że zdobył informacje należące do klientów polskiego sklepu oferującego tekstylia bez komponentów pochodzenia zwierzęcego. Mowa o platformie vegehome.pl.
Początkowo wydawało się, że problem dotyczy tylko jednej marki. Dopiero szczegółowa analiza udostępnionego materiału wykazała, że sprawa ma znacznie szersze tło. Razem z vegehome.pl w sieci pojawiły się bowiem również informacje dotyczące drugiego sklepu należącego do tej samej grupy, czyli polskiekoldry.pl, specjalizującego się w sprzedaży pościeli i kołder.
Cyberprzestępca deklarował, że w jego posiadaniu znajdują się dane przeszło stu tysięcy klientów. Eksperci portalu CyberDefence24, którzy jako pierwsi zbadali zawartość upublicznionego pliku, szybko zorientowali się, że liczba ta nie była przechwałką. Rzeczywistość okazała się jeszcze bardziej dotkliwa, a sam zbiór liczył ponad dziewięć milionów linijek.
Co dokładnie trafiło w ręce przestępców?
Po odfiltrowaniu powtórzeń i wyodrębnieniu unikalnych rekordów specjaliści doliczyli się niemal 146,4 tysiąca wpisów związanych z kontami użytkowników. Wśród nich znalazły się imiona i nazwiska, adresy mailowe (132 396 unikalnych pozycji), skróty kryptograficzne haseł oraz daty składanych zamówień. To jednak nie wszystko.
Do bazy trafiły także adresy dostaw oraz numery telefonów. Trudno dziś jednoznacznie stwierdzić, czy wyciek objął absolutnie każdego klienta obu portali, ponieważ precyzyjne zweryfikowanie zakresu wymagałoby wielogodzinnych prac analitycznych. Wiele wskazuje jednak na to, że upublicznione zostały dane adresowe zdecydowanej większości kont zarejestrowanych w systemie.
Ciekawostką jest rozkład domen pocztowych w wycieku. Około 38 procent adresów, czyli ponad 50 tysięcy pozycji, pochodziło z domeny allegromail.pl, wykorzystywanej przez serwis aukcyjny jako osłona dla prawdziwych skrzynek kupujących. Po odjęciu tej grupy największy udział miał Gmail (44 procent), następnie wp.pl (21 procent) oraz o2.pl (6,5 procent).
Warszawa i Szczecin na celowniku
Skalę zdarzenia dobrze oddaje geografia wycieku. W polu adresu dostawy aż blisko 16 tysięcy razy przewija się stolica Polski. Drugie miejsce zajął Szczecin z około 2,1 tysiąca wystąpień, a za nim uplasowały się Lublin (1691) oraz Bydgoszcz (1391). Frazy „allegro” lub „allegro.pl” odnotowano w adresach dostaw mniej więcej 59 tysięcy razy, co sugeruje, że sporo zamówień realizowano za pośrednictwem tej platformy.
Warto podkreślić, że hasła użytkowników nie trafiły do pliku w postaci jawnej. Administratorzy sklepów zastosowali algorytm bcrypt z parametrem kosztu ustawionym na dziesięć, co znacząco utrudnia rozszyfrowanie oryginalnego ciągu znaków. Odzyskanie hasła z takiego skrótu to operacja czasochłonna, zwłaszcza w porównaniu ze starszymi i zdecydowanie słabszymi algorytmami typu MD5 czy SHA-1.
Łatwość złamania takiego zabezpieczenia zależy jednak od samego hasła. Złożone, długie frazy, nawet te pozornie dziwaczne, wypadają w tej konfrontacji znacznie lepiej niż krótkie kombinacje liter, cyfr i znaków specjalnych, które użytkownicy często uznają za wystarczająco mocne. Portal CyberDefence24 już wcześniej zwracał uwagę na tę zależność.
Firma nie uciekła przed odpowiedzialnością
Po odkryciu wycieku redakcja CyberDefence24 skontaktowała się z właścicielami obu sklepów wieczorem 13 kwietnia. Odpowiedź nadeszła już następnego ranka, co w branży oceniono jako reakcję wzorcową. Przedstawiciele firmy potwierdzili, że rzeczywiście doszło do nieautoryzowanego dostępu do bazy i że weryfikują autentyczność upublicznionego materiału.
W oświadczeniu przesłanym redakcji spółka zaznaczyła, że w systemie nie przechowywano żadnych danych kart płatniczych, a hasła były mocno zabezpieczone kryptograficznie. Wektor ataku nie miał związku z popularnym oprogramowaniem sklepowym PrestaShop, wbrew pierwszym spekulacjom. Włamywacze wykorzystali zewnętrzne narzędzie administracyjne do zarządzania bazą danych, umiejscowione w infrastrukturze testowo-rozwojowej. Lukę zamknięto.
Firma zdecydowała się również unieważnić hasła wszystkich klientów i przystąpić do pełnego audytu bezpieczeństwa. Oba sklepy korzystały ze zintegrowanej bazy danych, co wyjaśnia, dlaczego jeden atak dotknął dwa różne portale. Według wewnętrznych logów do skopiowania bazy doszło 12 kwietnia, a sama publikacja wykradzionych informacji miała miejsce następnego dnia rano.
Zgłoszenia do UODO i rekomendacje dla klientów
Zgodnie z wymogami RODO operator sklepów przygotowuje formalne zawiadomienia do Prezesa Urzędu Ochrony Danych Osobowych, a także do CERT Polska oraz Centralnego Biura Zwalczania Cyberprzestępczości. Zgłoszenia mają zostać wysłane w ustawowym terminie 72 godzin od momentu wykrycia incydentu. Klientów, których dane mogły zostać naruszone, firma zamierza powiadomić indywidualnie, dołączając instrukcję bezpiecznej zmiany hasła.
Specjaliści apelują, żeby wszystkie osoby posiadające konto w vegehome.pl lub polskiekoldry.pl traktowały sytuację poważnie i nie czekały na oficjalną wiadomość. Pierwszym krokiem powinno być zastrzeżenie numeru PESEL, co zresztą warto zrobić niezależnie od konkretnej sprawy. Kolejnym – włączenie dwuskładnikowego uwierzytelniania wszędzie tam, gdzie jest to możliwe.
Istotna pozostaje również kwestia haseł. Jeżeli to samo hasło, którego używano w sklepach, pojawia się na innych serwisach, trzeba natychmiast je pozmieniać. Warto też zachować szczególną czujność wobec nietypowych telefonów i wiadomości, ponieważ dane z wycieku stanowią pożywkę dla oszustów szykujących kampanie phishingowe. Każdą podejrzaną próbę kontaktu najlepiej zgłaszać do CBZC lub CERT Polska.
Czego uczy nas kolejny incydent?
Sprawa vegehome.pl i polskiekoldry.pl pokazuje, że nawet branże uznawane za niszowe – pościel, tekstylia, artykuły domowe – stanowią atrakcyjny kąsek dla przestępców. Baza zawierająca imiona, nazwiska, adresy i numery telefonów bywa cenniejsza niż numery kart, ponieważ pozwala konstruować wiarygodnie brzmiące próby wyłudzeń.
Ten przypadek stanowi też ciekawe studium tego, jak powinien reagować przedsiębiorca po wykryciu włamania. Szybkie potwierdzenie zdarzenia, jasny komunikat o rodzaju naruszonych informacji, zamknięcie luki, reset haseł oraz gotowość do zgłoszenia sprawy instytucjom państwowym – taki zestaw działań powinien stać się standardem, a nie wyjątkiem.
Dla zwykłych użytkowników płynie z tego prosty morał. Jedno hasło do wielu serwisów, brak weryfikacji dwuetapowej i zbywanie ostrzeżeń machnięciem ręki to dziś przepis na poważne kłopoty. Cyfrowa higiena przestaje być kwestią wyboru i staje się koniecznością w codziennym korzystaniu z sieci.
