Uwaga! Gigantyczny wyciek danych. Ujawniono informacje z tysięcy sklepów internetowych

30 października 2025 10:25 | Autor: Anna Szkutnik | Aktualności | Brak komentarzy

Serwis CyberRescue poinformował o poważnym incydencie bezpieczeństwa, do którego doszło w systemie Sky-Shop.pl, jednej z najpopularniejszych w Polsce platform do prowadzenia sklepów internetowych. Atakujący uzyskali dostęp do paczek danych zawierających informacje użytkowników powiązanych z około 9000 sklepami.

Fot. Warszawa w Pigułce

[AKTUALIZACJA] Po naszej publikacji skontaktował się z nami sam serwis, który przesłał nam obszerne wyjaśnienie w tej sprawie. Zamieszczamy więc je w formie niezmienionej, bo pełniej wyjaśnia obraz sytuacji.

Przestępca wykorzystał mało znany typ podatności w jednym z komponentów systemu, który umożliwił mu uzyskanie nieautoryzowanego dostępu do części danych sklepów internetowych korzystających z naszej Platformy. Z prowadzonych przez nas analiz wynika, że atak był dobrze przygotowany, zaś atakujący nie jest przypadkowym cyberprzestępcą. Również moment ataku – tuż przed najgorętszym okresem w e-handlu, w naszej ocenie nie jest przypadkowy.

Wśród danych, które zostały pozyskane przez atakującego, znajdują się imiona i nazwiska, adresy e-mail, adresy korespondencyjne, numery telefonów oraz hashe haseł powiązane z zarejestrowanymi kontami użytkowników. Co ważne, żadne dane dotyczące zamówień nie zostały pozyskane.

Wektor ataku został zdiagnozowany i usunięty w dniu wczorajszym (29.10.2025) w godzinach porannych.

Szacujemy, że incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym w których nie przechowywano prawdziwych danych osobowych.

Właściciele wszystkich sklepów internetowych objętych incydentem otrzymują właśnie szczegółowe informacje dotyczące zdarzenia, w tym informacje pozwalające skutecznie poinformować użytkowników swoich sklepów. Ze względu na skalę incydentu, wysyłka informacji do wszystkich sklepów, których on dotyczy, zakończy się najpewniej dopiero za kilka godzin.

Zakładamy, że część naszych użytkowników w pierwszej kolejności o zdarzeniu dowie się o poranku z mediów lub wiadomości e-mail. Nie jest to dla nich i dla nas sytuacja komfortowa, niemniej uznaliśmy, że w interesie naszych użytkowników jest jak najszybsze ujawnienie informacji o zdarzeniu.

Ostatnie kilkadziesiąt godzin nasz zespół intensywnie pracował nad ustaleniem i zminimalizowaniem skutków ataku, a spora jego część spędzi w pracy kolejną noc. Następne dni będą intensywne zarówno dla nas, jak i dla naszych klientów. Dlatego też zależy nam na pełnym przekazaniu im aktualnego stanu naszej wiedzy i wsparciu ich w zaistniałej sytuacji.

Poniżej przedstawiamy szczegółowe informacje o incydencie.
Chronologia zdarzeń

  • 10.2025 – uzyskanie pierwszego dostępu i rozpoczęcie przygotowań do pobierania danych przez przestępcę.
  • przedwczoraj (28.10.2025), godziny popołudniowe – wykrycie anomalii w ramach rutynowego monitoringu ruchu sieciowego.
  • wczoraj (29.10.2025), godz. 09:40 – ustalenie prawdopodobnego wektora ataku i jego trwałe zablokowanie.
  • wczoraj, godziny popołudniowe i wieczorne – finalne potwierdzenie wektora ataku i jego skutecznej blokady oraz potwierdzenie zakresu sklepów i danych objętych incydentem.

System monitoringu zarejestrował niestandardowe żądania w obrębie naszych serwerów. Analiza logów pozwoliła ustalić źródło i charakter aktywności, a także zakres incydentu. Zaś od chwili stwierdzenia incydentu do momentu powstrzymania przestępcy minęło mniej niż dwadzieścia godzin.

Zakres pozyskanych danych

Atakujący pobierał paczki danych użytkowników posiadających konto w danym sklepie internetowym:

imię i nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, dane do faktury, informację o domenie sklepu, do którego konto jest przypisane oraz hash hasła.

Nie uzyskano dostępu do:

  • historii zamówień,
  • danych kart płatniczych,
  • numerów kont bankowych,
  • rzeczywistych haseł.

Według naszych ustaleń w przypadku klientów sklepów internetowych incydent objął wyłącznie osoby, które założyły konto w tych sklepach. Nie doszło do wykradzenia danych osobowych klientów, którzy korzystali z opcji zakupów bez zakładania konta w sklepie.

Stosowany przez nas mechanizm hashowania haseł istotnie utrudnia ich odtworzenie, niemniej – tak jak każdy mechanizm hashowania – nie gwarantuje 100% skuteczności. Dlatego też wszystkim osobom korzystającym z naszej Platformy rekomendujemy zmianę haseł używanych w sklepach internetowych.

Zgodnie z najlepszymi praktykami – rekomendujemy również nieużywanie tych samych haseł w różnych miejscach.

Klienci sklepów internetowych powinni zachować czujność w zakresie ewentualnych wiadomości e-mail czy SMS, które mogą otrzymywać w najbliższym czasie. Nadchodzący okres zakupów świątecznych czy Black Friday dodatkowo sprzyjać może aktom phishingu i próbom wyłudzeń – dlatego zalecamy daleko idącą ostrożność przy klikaniu w linki w wiadomościach e-mail czy SMS. Przestępcy dysponują zakresem danych pozwalających na stworzenie wiarygodnie wyglądających prób wyłudzenia. Dotyczy to wszystkich form komunikacji – w tym połączeń głosowych.

Podjęte działania

  1. 1.    Współpracujemy z ekspertami ds. cyberbezpieczeństwa
  2. 2.    Współpracujemy z kancelarią prawną wyspecjalizowaną w obsłudze incydentów naruszenia ochrony danych.
  3. 3.    Zawiadomiliśmy o zdarzeniu m.in. CSIRT NASK, a najpóźniej w dniu dzisiejszym (z dochowaniem terminów prawnych) powiadomimy formalnie o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych.
  4. Wdrożyliśmy szereg dodatkowych działań do monitorowania i logowania ruchu w obrębie naszej Platformy, które mają zapobiec ewentualnym dalszym incydentom.
  5. Dążymy do udzielenia niezbędnego wsparcia wszystkim naszym użytkownikom.

Dodatkowo na ten moment:

  • trwa wysyłka informacji do sklepów objętych incydentem, 
  • trwa kompletowanie dokumentacji dla organów ścigania,
  • trwa przygotowanie zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Brak kontaktu ze strony sprawców

Nie odnotowaliśmy żadnych prób kontaktu ze strony osób odpowiedzialnych za atak, w szczególności dotyczących żądań okupu.

Nie prowadzimy i nie będziemy prowadzić żadnych negocjacji z podmiotami stojącymi za incydentem.

Dalsze działania

Obecnie trwa analiza powłamaniowa, której celem jest pełne odtworzenie ścieżki ataku i jego szczegółów.

Ze względu na trwające czynności nie udzielamy na tym etapie szczegółowych informacji technicznych dotyczących wykorzystanego wektora ataku. Ze względów bezpieczeństwa nie ujawniamy również publicznie dodatkowych zabezpieczeń, które są przez nas wdrażane.

Obserwuj nas w Google News
Obserwuj
Capital Media S.C. ul. Grzybowska 87, 00-844 Warszawa
Kontakt z redakcją: Kontakt@warszawawpigulce.pl

Copyright © 2023 Niezależny portal warszawawpigulce.pl  ∗  Wydawca i właściciel: Capital Media S.C. ul. Grzybowska 87, 00-844 Warszawa
Kontakt z redakcją: Kontakt@warszawawpigulce.pl