Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych

Wpis o kradzieży danych pojawił się 13 kwietnia na forum hakerskim. Początkowo dotyczył sklepu vegehome.pl, ale eksperci CyberDefence24 wykazali, że incydent objął też polskiekoldry.pl. Osoba publikująca dane mówiła o ponad 100 tys. klientów, a redakcja odnalazła informacje o ok. 130 tys. użytkowników.

Udostępniony plik miał ponad 9 mln linijek. Sklepy w odpowiedzi dla CyberDefence24 potwierdziły, że doszło do nieautoryzowanego dostępu do bazy danych. Dodały też, że oba serwisy korzystały ze zintegrowanej bazy, dlatego sprawa dotyczy dwóch marek.

Eksperci CyberDefence 24 informują, że w trakcie analizy udało im się znaleźć 146 377 linijek z danymi kont. Z dotychczasowych ustaleń wynika, że mogły się w nim znaleźć standardowe informacje podawane przy rejestracji oraz część danych adresowych. Redakcja zaznaczyła, że skali wycieku adresów wszystkich klientów nie da się jeszcze potwierdzić jednoznacznie.

Eksperci wskazali, że cyberprzestępcy zyskali dostęp m.in. do imion i nazwisk klientów, adresów e-mail, danych teleadresowych, haseł zapisanych w formie hasha oraz części adresów dostawy.

W bazie było 50 297 adresów w domenie allegromail.pl, czyli ok. 38 proc. wszystkich maili. Jak podaje CyberDefence24, w tej grupie ujawniono tylko imię i nazwisko kupującego przez Allegro. Po wyłączeniu tej domeny najwięcej rekordów pochodziło z gmail.com - 36 432, dalej z wp.pl - 17 365 i o2.pl - 5352.

W polu adresu dostawy fraza allegro lub allegro.pl pojawiała się ok. 59 tys. razy. Redakcja zaznaczyła, że w większości takich rekordów znajdowały się także imiona, nazwiska i adresy. Jednocześnie podkreśliła, że pełne oszacowanie skali wymaga dalszej, wielogodzinnej analizy.

Hasła zabezpieczono algorytmem bcrypt z kosztem 10. To oznacza, że ich odtworzenie jest dużo trudniejsze niż w przypadku starszych metod, takich jak MD5 czy SHA-1. CyberDefence24 zwrócił jednak uwagę, że wiele zależy od złożoności samego hasła, a dłuższa fraza może być lepsza od krótszej kombinacji znaków.

Sklepy przekazały, że atak nie wynikał z luki w PrestaShop. Według wstępnych ustaleń włamanie miało związek z zewnętrznym narzędziem administracyjnym do zarządzania bazą danych, działającym w infrastrukturze testowo-rozwojowej. Firmy zapewniły, że podatność już zamknęły.

Po wykryciu naruszenia firmy odseparowały infrastrukturę, zablokowały drogę ataku, zmieniły dane dostępowe do kluczowych usług i rozpoczęły audyt bezpieczeństwa. Zapadła też decyzja o zresetowaniu haseł wszystkich użytkowników. Sklepy zaznaczyły przy tym, że nie przechowują danych kart płatniczych.

Z wewnętrznych logów wynika, że nieautoryzowane pobranie bazy nastąpiło 12 kwietnia, a publikacja mogła pojawić się 13 kwietnia rano. O samym incydencie firmy dowiedziały się wieczorem 13 kwietnia. Zapowiedziały zgłoszenia do UODO, CERT Polska i CBZC w ustawowym terminie 72 godzin oraz bezpośrednie powiadomienie osób, których dane mogły zostać naruszone.