Zmasowany atak na szafy Polaków. Wyciekły dane klientów znanych sklepów
25 września dobrze znane Polakom marki - New Balance, Ochnik, pickypica.com oraz StreetStyle24 - poinformowały o wycieku danych klientów, którzy robili zakupy w ich sklepach internetowych. Sytuacja nie jest przypadkiem, gdyż przebieg ataku, jego data i lista wykradzionych danych są identyczne.
25 września sklep New Balance Poland w wiadomości e-mail do klientów sklepu internetowego poinformował o "incydencie naruszenia ochrony danych osobowych", które miało miejsce w infrastrukturze technicznej partnera technologicznego firmy. Ale to nie wszystko.
New Balance Poland i Ochnik ofiarami hakerów. Tego samego dnia i w ten sam sposób
Jak podaje firma, do incydentu doszło tydzień wcześniej - 18 września. Tego dnia ofiarą ataku hakerskiego padł bliżej nieokreślony partner technologiczny New Balance Poland Sp. z o. o., w wyniku czego "osoby nieuprawniony uzyskały dostęp do jednego z technicznych kont, które normalnie nie miało szerokich uprawnień".
Wykorzystując lukę bezpieczeństwa, atakujący uzyskali dostęp do plików z danymi naszych klientów. W wyniku tego incydentu atakujący uzyskali dostęp do danych takich jak imię, nazwisko, adres dostawy, adres email oraz numer telefonu. Nasze dane wskazują, że nie doszło do wycieku haseł ani pozostałych danych osobowych. Natychmiast wdrożyliśmy środki zapobiegawcze, blokując dalszy dostęp do systemu i eliminując źródło problemu.
Informuje New Balance Poland w wiadomości do klientów
Bądź jeden krok przed oszustami:
Co ciekawe, nie jest to jedyny atak, który miał miejsce tego samego dnia. Jak przekazała redakcja TVN 24, 18 września doszło do identycznego ataku na infrastrukturę sklepu z butami i galanterią, Ochnik.
W dniu 18.09.2024 otrzymaliśmy informację o naruszeniu ochrony danych osobowych. Doszło do tego w wyniku ataku hackerskiego na infrastrukturę naszego partnera technologicznego. Osoby nieuprawnione uzyskały dostęp do jednego z technicznych kont. Wykorzystując lukę bezpieczeństwa w stosowanym oprogramowaniu, atakujący uzyskali dostęp do plików z danymi naszych klientów.
Przekazał rzecznik Ochnik w komunikacie cytowanym przez TVN24
W przypadku Ochnik S.A. atak na infrastrukturę bliżej nieokreślonego partnera technologicznego także poskutkował wyciekiem imion i nazwisk, adres dostaw, adresów email i numerów telefonów. I tu hakerzy nie uzyskali dostępu do haseł, historii transakcji czy pozostałych danych dostępowych.
Obie firmy poinformowały o incydencie odpowiednie organy, w tym prezesa Urzędu Ochrony Danych Osobowych. Jednocześnie obie spółki przestrzegły klientów przed niebezpiecznym sytuacjami i incydentami, które mogą być skutkami przejęcia przez osoby nieuprawnione danych klientów:
- próbami wysyłki niezamówionych materiałów marketingowych (tzw. spam) na adres email lub numer telefonu,
- próbami phishingu, czyli kontaktami od nieznanych firm i osób próbujących wyłudzić dodatkowe dane,
- próbami uzupełnienia reszty danych klientów przez podejrzane rozmowy telefoniczne lub wiadomości email
Z kolei jak poinformował serwis Niebiezpiecznik, sklepami, które również padły ofiarą hakerów są pickupica.com oraz StreetStyle24.pl. Także w ich przypadku celem ataku z 18 września była "infrastruktura technologiczna partnera" - podmiotu przetwarzającego dane klientów, a łupem złodziei dane osobowe klientów z wyłączeniem haseł.
Osoby nieuprawnione uzyskały dostęp do jednego z technicznych kont, które normalnie nie miało szerokich uprawnień. Wykorzystując lukę bezpieczeństwa, atakujący uzyskali dostęp do plików z danymi naszych klientów. W wyniku tego incydentu atakujący uzyskali dostęp do danych takich jak: imię, nazwisko, adres dostawy, adres email oraz numeru telefonu
Niewykluczone, że kolejne marki odzieżowe (i nie tylko) w ciągu najbliższych godzin mogą wydać oświadczenie o byciu ofiarami ataku hakerskiego.