Dane tysięcy Polaków mogły wyciec z platformy do zamawiania jedzenia. Co wiemy?

• 5 stycznia 2026 roku opublikowano próbkę danych przypisaną do Panrest
• W pliku znajdowały się dane o dostawach i osobach fizycznych.
• Eksperci twierdzą, że upublicznione dane są prawdziwe.
• Nieznana jest skala incydentu.
• Firma dotychczas nie skomentowała zdarzenia ani nie odpowiedziała na nasze pytania.

5 stycznia br. na znanym forum z wyciekami danych pojawił się wpis dotyczący rzekomej kradzieży danych klientów Panrest.pl – platformy będącej pośrednikiem między klientami a restauracjami podczas zamawiania jedzenia z dostawą. Cyberprzestępca opublikował dwa pliki – jeden z nich składa się nazw kolumn w bazie (SQL), zaś drugi to fragment wykradzionych danych.

Jako pierwszy o zdarzeniu zaalarmował Riffsec na portalu X, który stwierdził:

Na forum pojawił się sample dump (próbka danych z wycieku - przyp. red.) przypisywany #Panrest. Po analizie fragmentów, które krążą publicznie, trudno mówić o fake'u (fałszywym wycieku - przyp. red.) lub marketingowym fejk-leaku. Co tam mamy? Wygląda na pełny dump (zrzut - przyp. red.) aplikacyjny WordPress i WooCommerce z produkcyjnego środowiska. W samplu widać żywe rekordy zamówień, konfigurację systemu oraz dane operacyjne platformy, zapisane w formie typowej dla bezpośredniego eksportu bazy danych
Riffsec na X

Co opublikowano?

Cyberprzestępca twierdzi, że wykradł dane 239 tys. użytkowników w ramach 7,4 mln rekordów. Upubliczniona próbka składa się z 472 linijek i zawiera dane kilku osób. „W opublikowanej próbce danych zidentyfikowaliśmy większość danych, które skategoryzował autor wpisu. Nie było tam jednak dat urodzenia ani informacji o osobach, które dostarczały zamówienia (są za to dane restauracji, które je realizowały)” – stwierdził Tymoteusz Jóźwiak na łamach Sekuraka.

W dokumencie udało się nam znaleźć dane osobowe kilku osób fizycznych oraz szczegóły zamówień. Mowa m.in. o poniższych rodzajach informacji:

• adres IP;
• user-agent (identyfikator zawierający dane m.in. o wersji przeglądarki);
• imiona i nazwiska;
• adres rozliczeniowy i dostawy (zazwyczaj były takie same);
• numer telefonu;
• kwota zamówienia;
• data dostawy.

Zamówienia zawarte w dowodach ataku pochodzą z 11 stycznia 2025 r. „Nie wiemy jaki dokładnie okres reprezentuje wyciek, ale można przypuszczać że mowa o co najmniej ok. roku” – czytamy na łamach Sekuraka. Jednocześnie nieznana jest skala incydentu - cyberprzestępca twierdzi, że udało mu się pobrać dane 3 stycznia br., lecz informacja jest obecnie niemożliwa do zweryfikowania.

Jak do tego doszło?

Wszystko wskazuje na to, że dane pozyskano ze strony działającej na Wordpressie, która wykorzystywała popularną wtyczkę WooComerce, powszechnie stosowaną w sklepach internetowych. Nie znamy jednak sposobu w jaki doszło do kradzieży danych.

W dowodach ataku w polach „woocommerce_version” oraz „woocommerce_db_version” znajduje się wartość „5.5.2” – tę wersję WooComerce opublikowano w lipcu 2021 roku. Jeśli system faktycznie operował na oprogramowaniu sprzed 3,5 roku (na styczeń 2025), widzimy duże prawdopodobieństwo wykorzystania podatności w nieaktualnym oprogramowaniu. Należy jednak podkreślić, że obecnie wektor ataku pozostaje nieznany.

Dlaczego o tym piszemy?

Informowanie o niepotwierdzonych incydentach bywa złudne, co pokazuje sprawa „incydentu” w Empiku – wówczas okazało się, że z firmy nie wyciekły żadne dane, zaś twierdzenia cyberprzestępcy były fałszywe.

„Po analizie fragmentów, które krążą publicznie, trudno mówić o fake’u lub marketingowym fejk-leaku” – stwierdził Riffsec, co wskazuje na autentyczność zbioru danych. Niepokojąca jest również reakcja firmy, do której wysłaliśmy zapytania 8 stycznia br. – dotychczas nie uzyskaliśmy odpowiedzi na pytania, podobnie jak Sekurak.

Co zrobić?

Osobom, które korzystały z usług Panrest, zalecamy przede wszystkim ostrożność wobec potencjalnych prób kontaktu – dane kontaktowe mogą posłużyć do ew. prób wyłudzeń informacji lub środków finansowych poprzez phishing.

Hasła powinny być unikalne, tzn. być wykorzystywane co najwyżej w jednej platformie. Sekurak rekomenduje zmianę hasła do Panrest oraz w innych portalach, gdzie było wykorzystywane. Jednocześnie, hashe haseł (frazy przechowywane jako funkcje skrótu) nie zostały zawarte w próbce danych, także jest to działanie stricte prewencyjne i zachowawcze.

Ciekawe obserwacje

W witrynie panrest.com można zauważyć, że w zakładce kontakt widnieje znane w branży „lorem ipsum”, czyli łaciński tekst wykorzystywany powszechnie w środowiskach testowych do prezentowania tekstu. Widzimy również tekst w języku angielskim, który również na to wskazuje.

Pozostaje nam oczekiwać na stanowisko firmy, obsługująca kilka warszawskich restauracji (przede wszystkim sushi).

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.