Wyciekły dane 130 tysięcy klientów dwóch polskich sklepów

13 kwietnia br. na jednym z forów hakerskich opublikowano wpis dotyczący kradzieży i upublicznienia danych z vegehome.pl - polskiego sklepu zajmującego się sprzedażą tekstyliów bez składników pochodzenia zwierzęcego. W toku analizy okazało się, że incydent obejmuje również inny sklep - polskiekoldry.pl.

Cyberprzestępca twierdził, że udało się mu uzyskać dane ponad 100 tysięcy klientów. Niestety nie blefował - faktycznie udało się nam znależć dane ok. 130 tysięcy użytkowników. Plik składał się z ponad 9 milionów linijek.

Wyciek danych z polskich sklepów

W trakcie analizy udało się nam znaleźć zbiór 146 377 linijek z danymi kont. Mowa tutaj o m.in. poniższych rodzajach informacji:

• imię i nazwisko;
• adres e-mail (132 396 unikalnych);
• funkcja skrótu hasła (hash);
• data zamówienia.

Co ważne - 50 297 maili (ok. 38%) pochodziło z domeny allegromail.pl.

”Wprowadzenie tego typu zabezpieczenia (wykorzystania maili w domenie allegromail.pl zamiast „prawdziwych” e-maili - przyp. red) było słusznym krokiem. Allegro dzięki temu minimalizuje ryzyko wycieku adresu email zarówno kupujących, jak i sprzedających” - podkreślała Bezpieka w marcu 2025 roku w kontekście wycieku danych z Babyhit. Należy przy tym dodać, że w przypadku rekordów zawierających maile w domenie allegromail.pl upubliczniono jedynie imię i nazwisko kupującego za pomocą Allegro (w ramach tego zbioru danych).

Przy pominięciu allegromail.pl, najwięcej rekordów (36 432 z 82 099 - 44%) pochodzi z domeny gmail.com. Na drugim miejscu znalazło się wp.pl (17 365 - 21%), zaś podium zamyka o2.pl (5352 - 6,5%).

Co z hasłami?

Wykorzystany algorytm hashowania hasła to bcrypt z kosztem 10. Oznacza to, że hasła są w dużej mierze bezpieczne - przwyrócenie upublicznionych ciągów znaków do formy hasła jako tekst (plaintext) jest bardzo czasochłonne w porównaniu z starszymi algorytmami z wycieków (np. MD5 czy SHA-1).

Należy jednak podkreślić, że możliwość złamania hasha („odgadnięcia” hasła) zależy w dużej mierze od jego stopnia złożoności. Wbrew pozorom hasło ”3ŻbikiNaŻółtejLatarniŚpiewają” jest lepsze od ”Tajne12$%”, co już opisywaliśmy na łamach naszego portalu.

Adresy dostaw

Niestety w pliku znalazły się również adresy dostaw. Pragniemy zaznaczyć, że dotychczas niemożliwe było jednoznaczne określenie, czy dane dotyczą wszystkich klientów.

Fraza ”allegro” lub ”allegro.pl” występuje ok. 59 tys. razy w polu adresu dostawy. Niestety w zdecydowanej większości przypadków znalazły się tam imiona i nazwiska oraz adresy. Podobnie jest w przypadku innych rekordów, bez nazwy polskiej platformy.

Dla oddania skali możemy przytoczyć liczbę wystąpień wybranych miast w ramach unikalnych rekordów:

• Warszawa: 15 946;
• Szczecin: 2 150;
• Lublin: 1 691;
• Bydgoszcz: 1 391.

W pliku znalazły się poniższe rodzaje informacji:

• imię i nazwisko;
• adres dostawy;
• numer telefonu;
• data zamówienia.

Pragniemy ponownie podkreślić, że obecnie niemożliwe jest jednoznaczne stwierdzenie, że w pliku znalazły się adresy wszystkich dostaw lub wszystkich klientów. Dane wskazują na to, że upubliczniono dane adresowe większości kont. Określenie skali wymaga wielogodzinnych analiz.

Wzorowa reakcja

Zwróciliśmy się do sklepów vegehome.pl i polskiekoldry.pl z prośbami o komentarz. Zawiadomiliśmy firmy 13 kwietnia w późnych godzinach wieczornych (ok. 21:30) - odpowiedzi otrzymaliśmy już następnego poranka (ok. 8:30). Reakcja organizacji jest godna polecenia.

Oskar Klimczuk, CyberDefence24: Czy potwierdzają Państwo kradzież i publikację danych klientów?

Vegehome.pl/Polskiekoldry.pl: Potwierdzamy, że odnotowaliśmy incydent bezpieczeństwa polegający na nieautoryzowanym dostępie do naszej bazy danych. Obecnie weryfikujemy doniesienia o ewentualnej publikacji skopiowanych informacji w internecie i analizujemy ich autentyczność.

Czy potwierdzają Państwo skalę kradzieży danych (ok. 100 tys. rekordów wg twierdzeń cyberprzestępcy lub ok. 145 350 rekordów)?

Na tym etapie prowadzimy szczegółowe postępowanie wyjaśniające i ustalamy dokładną liczbę kont, których dotyczy incydent. Do czasu zakończenia audytu nie odnosimy się do liczb podawanych przez osoby trzecie.

Jakie rodzaje danych zostały upublicznione?

Ze wstępnych analiz wynika, że skopiowane dane mogły obejmować standardowe informacje podawane podczas rejestracji, takie jak: imiona, nazwiska, adresy e-mail, dane teleadresowe oraz hasła. Pragniemy podkreślić, że hasła były silnie zabezpieczone (kryptograficznie zhashowane), a w naszej bazie nie były i nie są przechowywane żadne dane kart płatniczych naszych klientów.

Jaki był wektor ataku i czy była nim podatność w PrestaShop?

Trwa analiza techniczna incydentu. Z dotychczas zgromadzonych logów i ustaleń wynika, że atak nie był efektem luki w oprogramowaniu PrestaShop. Wektor ataku był związany z zewnętrznym narzędziem administracyjnym do zarządzania bazą danych, umiejscowionym w naszej infrastrukturze testowo-rozwojowej. Luka ta została już zidentyfikowana i trwale zamknięta.

Jakie działania zapobiegawcze zostaną podjęte?

Natychmiast po wykryciu zdarzenia podjęliśmy kroki izolujące i zabezpieczające infrastrukturę serwerową. Zablokowaliśmy wektor ataku, zmieniliśmy poświadczenia dostępowe do kluczowych usług i rozpoczęliśmy audyt bezpieczeństwa. Dodatkowo, ze względów prewencyjnych, podjęliśmy decyzję o unieważnieniu (zresetowaniu) haseł wszystkich użytkowników w naszym sklepie.

Czy planowane jest opublikowanie komunikatu i/lub poinformowanie klientów o zdarzeniu?

Tak. Ochrona danych naszych klientów oraz transparentność działań to nasze priorytety. Przygotowujemy obecnie stosowną komunikację, która w pierwszej kolejności trafi bezpośrednio do osób, których dane mogły ulec naruszeniu. Wiadomości te będą zawierały m.in. instrukcje dotyczące procedury bezpiecznego ustanowienia nowego hasła.

Czy poinformowali Państwo UODO, CERT Polska bądź CBZC?

O incydencie dowiedzieliśmy się 13 kwietnia w godzinach wieczornych. Zgodnie z obowiązującymi przepisami prawa, w tym wymogami RODO, jesteśmy w trakcie przygotowywania formalnych zgłoszeń do Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz odpowiednich instytucji ds. cyberbezpieczeństwa (CERT Polska, CBZC). Zgłoszenia zostaną przekazane w ustawowym terminie 72 godzin od momentu wykrycia naruszenia.

Kiedy doszło do ataku? Ostatni rekord ma datę „(…)”, zaś przedostatni „(…)”?

Z naszych wewnętrznych logów systemowych wynika, że do nieautoryzowanego pobrania zawartości bazy danych doszło 12 kwietnia. Według naszych informacji, mogły zostać upublicznione 13 kwietnia w godzinach porannych. Jak wspomnieliśmy, o samym incydencie dowiedzieliśmy się 13 kwietnia wieczorem i natychmiast przystąpiliśmy do działań zabezpieczających i wyjaśniających.

Czy portale posiadały wspólną bazę danych?

Tak, w ramach naszej architektury systemowej korzystaliśmy ze zintegrowanej bazy danych dla obsługiwanych portali, co stanowi przedmiot naszego trwającego audytu bezpieczeństwa.

Podsumowanie

Wszystkim osobom, których dane mogły ulec naruszeniu ochrony, rekomendujemy:

• zastrzeżenie numeru PESEL (co warto zrobić niezależnie od tego, czy nasze dane zostały upublicznione);
• korzystanie z dwuetapowego uwierzytelniania;
• ostrożność wobec niechcianych prób kontaktu (zarówno mailowo i telefonicznie) wraz z zgłaszaniem ich do CBZC lub CERT Polska;
• zmianę haseł wszędzie tam, gdzie było identyczne jak na portalach (chociaż do takiej sytuacji nie powinno dojść - każde nasze hasło powinno być użyte maksymalnie raz);
• zachowanie wzmożonej uwagi na próby wyłudzenia danych (phishing).

Wszystkim chętnym polecamy anonimowy kontakt z nami - należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.