Ogromny wyciek danych 25 mln klientów Empiku? Okazało się, że nic z tych rzeczy [AKTUALIZACJA]
Serwis Zaufana Trzecia Strona poinformował o potencjalnym poważnym wycieku danych klientów sklepu Empik.com. Według informacji opublikowanych przez portal, na forum dla cyberprzestępców pojawiła się oferta sprzedaży bazy danych zawierającej informacje o niemal 25 milionach użytkowników popularnej platformy zakupowej. [AKTUALIZACJA] Mamy oświadczenie sieci Empik. Na szczęście informacje o potencjalnym wycieku nie potwierdziły się.
Fot. Obraz zaprojektowany przez Warszawa w Pigułce wygenerowany w DALL·E 3.
AKTUALIZACJA
Otrzymaliśmy oficjalne stanowisko Empiku:
Nadal trwa weryfikacja wspomnianych wcześniej podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemach Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach.
Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze.
Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.
AKTUALIZACJA 2
Empik poinformował nas, że informacje o potencjalnym wycieku na szczęście nie potwierdziły się.
W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne.
Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com.
Z tego miejsca dziękujemy zespołowi ekspertów CERT za wsparcie w całym procesie i bardzo sprawną współpracę.
Potencjalny wyciek danych?
Z informacji udostępnionych przez Zaufaną Trzecią Stronę wynika, że sprzedawca działający pod pseudonimem Alextraze zamieścił 22 marca 2025 roku ogłoszenie, w którym oferuje bazę danych Empik.com. Baza ma zawierać dane 24 785 190 unikalnych użytkowników serwisu i zajmować 47 GB. Sprzedający opublikował również próbkę danych, która według ekspertów z Zaufanej Trzeciej Strony wygląda wiarygodnie.
„Na forum dla przestępców pojawiła się oferta sprzedaży danych Empiku – prawie 25 milionów użytkowników. Sprzedający opublikował próbkę danych, która wygląda wiarygodnie. Niestety nie wygląda to na fałszywkę/oszustwo” – napisał portal na swoim koncie w serwisie X (dawniej Twitter).
Zakres informacji
Według informacji zamieszczonych w ogłoszeniu, baza danych zawierać ma wyjątkowo szeroki zakres wrażliwych informacji o klientach:
- adresy e-mail
- imiona i nazwiska
- adresy zamieszkania
- numery telefonów
- dane o zamówieniach
- informacje o produktach w koszyku
- salda kart podarunkowych
- numery kont
- historię zakupów
- wiele innych danych związanych z kontem
Co niepokojące, baza ma zawierać wszystkie te informacje w formacie JSON i została według sprzedającego „zrzucona” zaledwie dwa dni przed publikacją ogłoszenia, czyli około 20 marca 2025 roku.
Potencjalne zagrożenia dla klientów
Sam Empik nie wydał jeszcze oficjalnego oświadczenia w sprawie domniemanego wycieku danych.
Wyciek tak obszernych danych stanowiłby poważny incydent bezpieczeństwa. Skradzione informacje mogą zostać wykorzystane do przeprowadzenia ukierunkowanych ataków phishingowych, kradzieży tożsamości czy nawet uzyskania dostępu do kont bankowych i innych usług, jeśli klienci używali podobnych haseł na różnych platformach. Szczególnie niebezpieczne jest połączenie danych osobowych z historią zakupów, co pozwala cyberprzestępcom na tworzenie bardzo przekonujących, spersonalizowanych wiadomości-pułapek.
Wysłaliśmy oficjalne zapytanie w tej sprawie do Biura Prasowego sieci Empik. Czekamy na stanowisko w tej sprawie.
Redaktor naczelny portalu. Absolwent Dziennikarstwa i Nauk Politycznych Uniwersytetu Warszawskiego.