Wyciekły dane ponad 200 tys. Polaków

Sprawa dotyczy sklepbaterie.pl. Za atak odpowiedzialna jest grupa Funksec, która 19 grudnia 2024 r. dodała wspomnianą witrynę na listę ofiar. Wówczas cyberprzestępcy żądali okupu w wysokości 10 milionów dolarów. Jako dowód ataku dodano m.in. zrzuty ekranu zawierające próbkę wykradzionych plików oraz zawartość katalogów, które zostały upublicznione 6 stycznia br. na znanej platformie do anonimowego przechowywania danych.

Niezdecydowani cyberprzestępcy

Data opłacenia okupu była wyznaczona na 1 stycznia 2025 roku. Dwa dni później grupa Funksec dodała wpis informujący o „ostatnim ostrzeżeniu” oraz publikacji 28 gigabajtów danych w przeciągu dwóch dni. 6 stycznia cyberprzestępcy opublikowali link do pobrania 32 megabajtowego archiwum. Oznacza to, że Funksec opublikował zdecydowanie mniej danych niż miało to mieć miejsce po rzekomym upływie tzw. „deadline’u”, czyli czasu na wpłacenie okupu.

Wyciek danych Polaków

Po rozpakowaniu archiwum możemy zapoznać się z 69 plikami w formacie .csv, które zajmują łącznie 112 megabajtów. Tylko osiem z nich jest większe niż 3,5 MB. Wśród nich znajdują się dane ponad 200 tys. klientów sklepu.

Analiza danych klientów

Plik clients.csv składa się z 218 942 linijek. Zawieta takie kolumny, jak m.in.:

• login;
• numer telefonu;
• adres e-mail;
• hash hasła;
• imię i nazwisko.

15 790 loginów zaczyna się od frazy „login”, zawierając ten sam hash hasła oraz unikalne adresy e-mail i numery telefonu. Pozostałe 203 152 rekordy zawierają dane, które w zdecydowanej większości wyglądają na autentyczne. Wśród nich znajduje się również spam, lecz stanowi to niewiele ponad 1,6% wszystkich rekordów (ok. 3600 tysiące linijek).

67 932 hasła były przechowywane jako funkcja skrótu algorytmu bcrypt, zaś pozostałe najprawdopodobniej jako MD5.

W kolumnie „phone” znajduje się 176 565 numerów telefonu. 96,4% rekordów zawiera adres e-mail – 41% z nich pochodzi z domeny @gmail.com, zaś 18% wykorzystuje domenę @wp.pl. Powyższy wyciek stanowi duże zagrożenie dla osób, które wykorzystują wspomniane dane logowania w więcej niż jednym miejscu, co oczywiście jest bardzo złą praktyką.

Nieco ponad 35% rekordów zostało dodanych do bazy w tej samej minucie, co może wskazywać na import poprzedniej bazy. Wpisy były tworzone pomiędzy lutym 2020 roku i sierpniem 2024 roku.

Analiza innych plików

Arkusz clients_adresses.csv składa się z 194 005 linijek. Plik najprawdopodobniej zawiera adresy zamówień zarówno przedsiębiorstw oraz osób fizycznych. Szczegółowa analiza z wyróżnieniem liczby firm wymaga wielogodzinnej pracy, lecz niektóre z rekordów na pewno dotyczą osób fizycznych. Warto również dodać, że nazwy wybranych przedsiębiorstw powtarzają się w dokumencie.

W jednym z plików znajdują się również uwagi do zamówień, złożone najprawdopodobniej przez formularz.

Stanowisko firmy oraz zgłoszenia

20 grudnia ub. r. skontaktowaliśmy się ze sklepbaterie.pl. Prezes zarządu firmy zapewnił nas o tym, że o sprawie poinformowane zostało CBZC oraz UODO. Przekazano nam również, że wykradzione dane są najprawdopodobniej archiwalne oraz nie pochodzą z obecnie użytkowanej infrastruktury.

Uzyskaliśmy również informację, że firma przeprowadziła analizę środowiska, która nie wykazała „żadnej podejrzanej aktywności”. Nie zaszyfrowano również żadnych urządzeń oraz nie wystąpiło żądanie okupu. Należy podkreślić, że firma nie zlekceważyła incydentu oraz – zgodnie z zapewnieniami – skontaktowała się z odpowiednimi służbami.

Incydent zgłosiliśmy do CERT Polska. Zwróciliśmy się również do hostingodawcy z prośbą o usunięcie archiwum. Miejmy nadzieję, że portal bezpiecznedane.gov.pl, po uprzedniej analizie ekspertów, uwzględni wspomniany wyciek danych w swoich zbiorach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].