Wyciek danych setek tysięcy klientów polskiego sklepu

Wpis o ataku został opublikowany 13 marca o godz. 3:13 na znanym forum hakerskim. „Ten wyciek danych nastąpił, gdy cyberprzestępca zidentyfikował i wykorzystał nieodpowiednio zabezpieczone połączenie z serwerem SQL za pośrednictwem przestarzałego portalu, który wcześniej był używany przez organizację, ale nie był już aktywnie utrzymywany ani monitorowany” – przekazano w poście, co okazało się nieprawdziwe, o czym poinformowało nas przedsiębiorstwo. Do wpisu dołączono próbkę danych oraz link do pobrania plików.

Rzekomo zaatakowanym sklepem ma być babyhit.pl. Nie można jednoznacznie stwierdzić, że to z tej organizacji pochodzą dane. Uzyskaliśmy komentarz firmy o incydencie.

Analiza plików

Po rozpakowaniu pobranego archiwum można zapoznać się z plikiem „Customers.csv”, składającym się z 783 532 linijek oraz zajmującym 236 megabajtów. W wspomnianym dokumencie można znaleźć takie informacje, jak np.:

• unikalne ID zamówienia;
• adres faktury (w większości przypadków będący adresem zamieszkania);
• data zamówienia;
• login (również w formie maila);
• numer telefonu;
• adres dostawy (w tym informacja o ew. paczkomacie, wraz z numerem).

Miasta zamówień

Analiza adresów faktur (zazwyczaj adresów zamieszkania) pozwala na analizę tego, skąd pochodziły zamówienia. Poniżej znajduje się 20 najczęściej wymienianych miast w kolumnie „InvoiceAddressCity”.

Skala wycieku

ID każdego zamówienia jest unikalne. Udało się nam również wyróżnić 661 885 unikalnych loginów oraz 649 893 unikalnych adresów e-mail. Ponad połowa z nich pochodziła z domeny allegromail.pl – oznacza to, że prawdziwe adresy e-mail tych osób nie zostały wykradzione (nie znajdują się w pliku).

Warto dodać, że ponad 15 tys. adresów mailowych pochodziło z domeny seznam.cz. Adresy zamówień wskazują na Czechy, zaś nazwiska mają czeskie pochodzenie.

Początkowa data zamówień to druga połowa 2021 roku. Ostatnie zamówienie zostało złożone 12 marca 2025 o godz. 23:25 – nieco mniej niż cztery godziny przed publikacją postu na forum. Wskazuje to, że dane są aktualne.

Każdy rekord w kolumnie „ImportSourceReference” zawiera frazę „babyhit”. „Paczkomaty” występuje 253 507 razy.

Rekordy z mailem w domenie allegromail.pl zawierają adres faktury (lokalizacja przedsiębiorstwa bądź najprawdopodobniej mieszkania), numery telefonu oraz imiona i nazwiska. Z domeny gov.pl pochodzi 11 adresów mailowych.

Zgłosiliśmy wyciek

Incydent zgłosiliśmy do CBZC oraz CERT Polska. Poinformowaliśmy również przedsiębiorstwo o zdarzeniu.

Postępowanie w przypadku wycieku danych opisaliśmy na łamach Demagoga.

Komentarz firmy (AKTUALIZACJA, godz. 12:00 14.03.2025 r.)

Babyhit.pl niezwłocznie odpowiedziało na nasze pytania. „Obecnie dokładnie weryfikujemy bazę w pliku csv, jednak na ten moment możemy zapewnić, że dane te nie pochodzą bezpośrednio ze sklepu babyhit.pl.” - przekazała nam firma.

Sklep z artykułami dla dzieci zlokalizował potencjalne źródło wycieku oraz podejmuje kroki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. ”Z dużym prawdopodobieństwem źródłem wycieku może być baza zewnętrznego dostawcy usług magazynowych (WMS), która jest hostowana na platformie Azure firmy Microsoft. Dostawca ten niezwłocznie podjął działania mające na celu zabezpieczenie danych oraz prowadzi obecnie szczegółowe postępowanie wyjaśniające. Jesteśmy w stałym kontakcie z dostawcą i podejmujemy wszelkie niezbędne działania, aby dokładnie wyjaśnić zaistniałą sytuację oraz zabezpieczyć dane naszych klientów.” - odpowiedziało nam babyhit.pl.

Firma dodała również, że informacja o „nieodpowiednio zabezpieczonym połączeniu z serwerem SQL za pośrednictwem przestarzałego portalu” jest nieprawdziwa. „Nasza spółka nigdy nie posiadała ani nie utrzymywała żadnego „nieaktywnego portalu”, z którego mogłyby pochodzić te dane. Informacja ta jest całkowicie niezgodna z prawdą.” - stwierdzono.

Klienci firmy zostaną zawiadomieni o incydencie w momencie uzyskania pełnej wiedzy. Po zakończeniu analizy zostaną powiadomione odpowiednie organy, m.in. UODO i CERT Polska. Należy podkreślić, że tempo reakcji przedsiębiorstwa jest godne naśladowania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].