Atak hakerski na Super-Pharm. Wyciekły dane klientów

W ostatni piątek (tj. 25 października br.) sieć drogerii oraz aptek Super-Pharm poinformowała klientów, wysyłając im maila, że doszło do wycieku ich danych w związku z atakiem hakerskim. Jego przyczyną miał być incydent, w którym wykorzystano lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę.

„Przepraszamy za wszelkie niedogodności związane z incydentem i zapewniamy, że traktujemy tę sprawę z najwyższą powagą. Kwestia bezpieczeństwa jest dla nas priorytetem, dlatego natychmiast podjęliśmy działania mające na celu zablokowanie nieautoryzowanego dostępu do systemu i wyeliminowanie źródła problemu” - czytamy w nadesłanym do klientów mailu.

Atak hakerski na Super-Pharm. Jakie dane wyciekły?

Dokładnie 21 października sieć drogeryjno-apteczna Super-Pharm miała wykryć nieautoryzowany dostęp do bazy danych klientów serwisu oraz bazy kupujących, którzy dokonywali zakupów, ale bez rejestracji.

Naruszenie danych dotyczy takich informacji jak: dane dotyczące zamówień, imię, nazwisko, adres e-mail, adres dostawy czy numer telefonu. 

Sieć sklepów twierdzi, że obecnie „nie ma dowodów na pobranie tych danych przez osoby nieautoryzowane” (tj. cyberprzestępców). Incydent ma nie obejmować danych logowania do aplikacji mobilnej oraz Klubu Super-Pharm.

Atak na Super-Pharm. Działanie po incydencie

Firma podkreśla, że podjęła takie kroki jak: zablokowanie dostępu do systemu; usunięcie luki bezpieczeństwa, która umożliwiła atak; wdrożyła dodatkowe zabezpieczenia; zgłosiła incydent do Prezesa Urzędu Ochrony Danych Osobowych, CERT Polska oraz na policję. Zweryfikowano obecne procedury bezpieczeństwa, a eksperci mają monitorować sieć, czy doszło do ujawnienia danych przez cyberprzestępców.

Co grozi klientom Super-Pharm?

Wyciek danych w systemach sklepów internetowych to sytuacja, na którą niestety klienci nie mają wpływu. Istotne jednak, by podjąć odpowiednie kroki, aby zabezpieczyć się po przykrym fakcie i żeby przestępcy nie wykorzystali - uzyskanych w związku z incydentem - danych.

„Nieuprawniony dostęp do Państwa danych znajdujących się w bazie takich jak np. dane dotyczące zamówień/rezerwacji internetowych może prowadzić do konsekwencji dla Państwa prywatności, takich jak ryzyko ujawnienia tych danych, wykorzystanie Państwa prywatnych informacji związanych z zamówieniem czy szkody wizerunkowe” - wskazał sklep w wiadomości do klientów.

Dodatkowo, kupujący w sieci drogeryjno-aptecznej są narażeni na phishing (mailowy, SMS-owy); spoofing, spam czy wykorzystanie adresu mailowego i innych danych do kolejnych ataków.

Ponadto - jeśli ktoś jeszcze tego nie zrobił - warto pamiętać o możliwości skorzystania z funkcji „zastrzeż PESEL” (!), która ma uchronić klientów przed wyłudzeniem pożyczki/ kredytu/ innego zobowiązania na ich dane. Jak to działa pisaliśmy w tym artykule.

Warto również pamiętać, by zachować ostrożność w przypadku wiadomości od nieznanych nadawców (i nie otwierać załączników); nie podawać danych na stronach i w miejscach, co do których nie mamy pewności, że są autentyczne, ani nie udostępniać wrażliwych informacji o sobie obcym. Ustal z rodziną/znajomymi tzw. hasło bezpieczeństwa i stosuj je za każdym razem w rozmowie/wiadomościach, kiedy masz jakiekolwiek wątpliwości i podejrzenia w kwestii oszustwa.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].