Czego uczy nas przypadek Empiku? O prawdzie słów kilka

22 marca br. polską przestrzeń medialną obiegła informacja o rzekomym wycieku danych z Empiku, która – jak ponownie podkreślamy – okazała się nieprawdziwa. Nie doszło do przełamania zabezpieczeń tej dużej sieci sklepów, zaś dział komunikacji firmy wykazał się profesjonalizmem – informacje były przekazywane praktycznie na bieżąco. Około doby później wyszło na jaw, że rzekome dowody były sfingowane.

Przebieg zdarzeń i stanowisko Empiku

Pragniemy przytoczyć wybrane tytuły artykułów – stan na 24 marca, godz. 10:55.

„[AKTUALIZACJA #2] Wyciek danych klientów Empiku? Ktoś oferuje bazę na sprzedaż” - Niebezpiecznik

„Wyciek danych klientów Empik? Nie ma się czego obawiać. Mamy oficjalne stanowisko firmy” - Sekurak

„Mamy dowód na to, że dane rzekomo wykradzione z Empiku zostały sprytnie sfałszowane” – Zaufana Trzecia Strona

„Empik wyciek. Hakerzy sprzedają dane” – Boop.pl

„Wyciek danych ok. 24 mln klientów Empiku? Firma uspokaja” – Money.pl

„Wyciekły dane milionów klientów Empiku, „47GB danych”. Co nam grozi i jak się zabezpieczyć?” – Bithub.pl

Jak widać na powyższych przykładach, wspomniane zdania niosą za sobą różne treści. Kluczowe jest stanowisko Empiku, który przekazał:

W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne. Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com.
Empik

Analiza plików

Artykuł Adama Haertle z Zaufanej Trzeciej Strony pokazał, że pierwotne informacje o wycieku danych milionów Polaków okazały się nieprawdziwe.

„Podsumowując, opublikowana próbka danych składa się ze sklejonych informacji: ze starego wycieku innej firmy (lekko zmodyfikowanych), danych całkowicie zmyślonych oraz danych pobranych ze strony firmowej. Główny plik albo nie istnieje, albo jest spreparowany w podobny sposób. Ktoś wykonał kawał solidnej, nikomu niepotrzebnej roboty” – stwierdzono w artykule. Dodał również, że użytkownik odpowiedzialny za publikację postu miał wysoką reputację na forum.

Ciekawy wpis opublikował Marcel Pewny na portalu LinkedIn. „Jeśli zamazujecie pseudonim, kogoś tak rozpoznawanego na »jakimś« forum, to ukryjcie również zdjęcie profilowe, bo jest bardzo charakterystyczne ;)” – co wskazuje na to, że ktoś odpowiedzialny za publikację postu o fałszywym wycieku może być znany osobom, które zajmują się zwalczaniem cyberprzestępczości.

Podsumowując, żadnego wycieku danych nie było. Równocześnie post zniknął z forum, o czym poinformowała Z3S w aktualizacji artykułu.

To nie był wyciek

Nieprawdziwa informacja zapewne zakorzeni się wśród niektórych Polek i Polaków. Pokazuje to dobrze rolę mediów w informowaniu o incydentach.

Niektórzy komentatorzy wskazują, że w żadnym momencie nie mieliśmy do czynienia z wyciekiem danych, tylko samym ogłoszeniem tego, że ktoś „niby sprzedaje dane”. Inni wskazują na potencjalny wpływ dezinformacji poprzez nagłaśnianie fałszywych wycieków danych, co będzie skutkowało m.in. koniecznością stałego informowania opinii publicznej oraz możliwością wystąpienia podobnych incydentów w przyszłości. Nieprzypadkowa może być również pora publikacji wpisu cyberprzestępcy – godzina 7:39 w sobotę.

Z krytyką spotkał się również jeden z dużych polskich portali zajmujących się cyberbezpieczeństwem, który na hasło „EMPIK” oferował 50% zniżki na dostęp do webinaru o wyciekach danych. Obecnie kod został zmieniony na niezwiązany z firmą.

Bazujmy na faktach

Informowanie o wyciekach danych jest dość wrażliwą sprawą. Warto bazować stricte na faktach i opierać się halucynacjom w stylu chatbotów. „Wyciek danych” a „wystawienie danych z rzekomego wycieku na sprzedaż” to dwie różne informacje.

Słuszne jest oczekiwanie na oficjalne komunikaty rzekomo zaatakowanych organizacji. Duże gratulacje należą się Empikowi, który przejrzyście informował o sprawie.

Czytając artykuły o „gigantycznych wyciekach”, warto sprawdzić na jakich danych bazuje dany portal oraz czy są podane wprost. Należy również sceptycznie podchodzić do informacji przekazywanych przez media do momentu potwierdzenia incydentu przez daną organizację. Jednocześnie wskazane jest zadbanie o poziom naszego bezpieczeństwa w cyberprzestrzeni, poprzez m.in. stosowanie dwuetapowego uwierzytelniania, unikalnych haseł oraz zastrzeżenie numeru PESEL.

„Nic nie kosztuje tak drogo, jak tanie prawdy” – Gabriel Laub.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].