Wielki wyciek danych klientów Empiku to fałsz. Sklep mówi, co naprawdę sprzedają hakerzy
Jeżeli doszły cię słuchy o wycieku w Empiku, to uspokajamy - twoje dane są bezpieczne, a do żadnego wycieku nie doszło.
W miniony weekend polski internet poruszyła informacja o wycieku, do jakiego miało dojść w strukturach informatycznych sieci sklepów. Według informacji na jednym z forów-platform sprzedaży w dark necie pojawiła się oferta sprzedaży danych "24 milionów klientów Empiku". Na dowód prawdziwości zestawu sprzedający pokazał próbkę zawierającą imiona i nazwiska, adresy, wiadomości e-mail oraz informacje dotyczące zamówień.
Na Empik.com nie doszło do wycieku. Sieć sklepów wyjaśnia, co tak naprawdę się wydarzyło
W sprawie z Empikiem skontaktował się Niebezpiecznik, któremu to serwisowi sieć handlowa odpowiedziała w następujący sposób:
[...] nadal trwa weryfikacja wspomnianych wcześniej podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemach Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach. Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze.
- wyjaśnił rzecznik Empiku.
Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.
W kolejnym komunikacie Empik przekazał, że nie doszło do żadnego wycieku. Przy identyfikacji skali wycieku (a właściwie jej braku) Empik został wsparty przez CERT Polska.
Z kolei jak poinformował serwis Zaufana Trzecia Strona, powołując się na informacje przekazane przez Empik, wśród 57 zestawów danych oferowanych przez sprzedawcę z forum dla hakerów, rzeczywiście odnaleziono dane klientów Empik.com. Sęk w tym, że jest to garstka użytkowników, których łączy jedna rzecz: bycie ofiarami naruszenia danych z 2020 roku w firmie Ledger oferującej portfele kryptowalutowe. Ponadto 3/4 z danych osobowych to kopie, w których zmieniono tylko jedną literę, by dodać wyciekowi objętości.
Pomiędzy danymi osobowymi skopiowanymi z wycieku z Ledgera a danymi reklam skopiowanymi ze strony Empiku znaleźć można także rzekome daty zakupów dokonywanych przez poszczególne osoby. Według analizy Empiku daty te są w całości sfabrykowane – żadna nie zgadza się z informacjami w systemach firmy
- informuje serwis Zaufana Trzecia Strona.
Tym razem sytuacja była niczym więcej jak fałszywym alarmem, tak więc każdy, kto kupował na Empik.com, może spać spokojnie. Cała sytuacja wydaje się być sposobem na szybki zarobek osoby publikującej ogłoszenie o sprzedaży danych.
Mimo to warto mieć na uwadze, że do podobnej sytuacji może rzeczywiście dojść w dowolnym momencie w każdym innym sklepie czy usłudze internetowej. Dlatego zawsze warto stosować proste, lecz skuteczne zasady bezpieczeństwa w internecie pokroju używania różnych haseł do różnych usług, używanie silnych, trudnych do odgadnięcia haseł oraz ograniczanie do minimum danych podawanych w internecie.
Na Spider's Web mamy oczy i uszy szeroko otwarte:
Zdjęcie główne: Grand Warszawski / Shutterstock
