W ostatnich dniach pojawiły się doniesienia o rzekomym wycieku danych klientów Empiku. Na jednym z forów cyberprzestępczych ktoś opublikował ogłoszenie sprzedaży bazy, która ma zawierać informacje na temat nawet kilkudziesięciu milionów użytkowników sieci.
- Możliwy wyciek danych klientów Empiku – w sieci oferowana jest baza z danymi milionów użytkowników, co stwarza ryzyko ataków phishingowych
- Empik zaprzecza, że dane pochodzą z jego systemów – wskazuje na niespójność formatu i możliwe zewnętrzne źródło wycieku
- Zalecane środki ostrożności – zmiana hasła, unikatowe loginy, uwierzytelnianie 2FA i czujność wobec podejrzanych wiadomości
- Więcej informacji o cyberbezpieczeństwie znajdziesz na stronie Vault-Tech.pl
Z udostępnionej przez sprzedawcę próbki wynika, że w bazie widnieją imiona i nazwiska, numery telefonów, adresy dostawy czy adresy e-mail, a także pewne dane związane z zamówieniami, choć nie zawiera ona haseł.
Podejrzanie duża i nietypowo podana liczba rekordów sugeruje, że mogą być to dane pochodzące z systemu reklamowego lub trackingowego. Cała baza może obejmować również duplikaty.
Z punktu widzenia bezpieczeństwa użytkowników sytuacja jest niepokojąca. Nawet bez haseł publiczne ujawnienie takich informacji ułatwia cyberprzestępcom próby wyłudzenia pieniędzy lub danych wrażliwych, np. w atakach phishingowych i vishingowych.
Część osób może być narażona na otrzymywanie fałszywych wiadomości lub połączeń telefonicznych, w których oszuści będą próbowali wyciągnąć informacje o kartach płatniczych lub nakłonić do instalacji złośliwego oprogramowania. Sam fakt posiadania czyjegoś adresu zamieszkania, numeru telefonu i powiązania go z innymi informacjami, takimi jak e-mail czy data złożenia zamówienia, może zostać wykorzystany w działaniach socjotechnicznych.
Czytaj też: Zastrzeżony PESEL to za mało. Ofiary muszą płacić cudze długi
Empik przygotował oświadczenie
Empik, w odniesieniu do tych doniesień, oświadczył, że zdecydowana większość rzekomo wyciekłych danych nie występuje w jego systemach. Format udostępnionych próbek nie pokrywa się z formatem danych z baz firmy.
Pełny komunikat Empiku:
Nadal trwa weryfikacja wspomnianych w materiale podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemach Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach.
Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze.
Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.
W próbce, którą opublikował oferujący bazę na sprzedaż, znajduje się także lista produktów z katalogu Empik.com. To informacje ogólnodostępne i niezwiązane z konkretnymi zakupami lub konkretnymi osobami.
Empik potwierdził przy okazji, że nie przechowuje numerów kart płatniczych zgodnie z obowiązującymi standardami. Firma zasugerowała, że źródłem danych wcale nie musi być jej własna infrastruktura, lecz może pochodzić ono od podmiotu zewnętrznego — na przykład pośrednika, partnera w programie reklamowym albo firmie z sektora marketingowego.
Sprawdź też: Jak zgrać zdjęcia z telefonu na komputer w bezpieczny sposób
Zmień hasło dla własnego bezpieczeństwa
W obliczu wciąż niejasnej sytuacji zaleca się profilaktyczne zabezpieczenie swojego konta przez natychmiastową zmianę hasła. Warto stosować unikatowe hasła w różnych serwisach, nie używać tych samych danych logowania w innych miejscach oraz rozważyć włączenie dwuskładnikowego uwierzytelniania tam, gdzie to możliwe.
Dobrą praktyką jest również zachowanie czujności wobec podejrzanych wiadomości e-mail i SMS, zwłaszcza jeśli proszą o ujawnienie jakichkolwiek wrażliwych danych albo nakłaniają do klikania w linki.
Użytkownicy powinni też sprawdzać, czy wiadomości na pierwszy rzut oka wyglądające na oficjalne faktycznie pochodzą z właściwego adresu, i regularnie monitorować aktywność na swoich kontach bankowych w poszukiwaniu niepokojących operacji. W kontekście ujawnienia danych teleadresowych warto zachować większą ostrożność przy odbieraniu telefonów i podawaniu swoich informacji osobom, których tożsamości nie da się zweryfikować.
Choć wciąż nie ma stuprocentowej pewności co do źródła i skali incydentu, każdy, kto ma konto w Empik.com, powinien traktować sprawę poważnie. Zminimalizuj ewentualne ryzyko utraty prywatności oraz strat finansowych.
Najnowsze oświadczenie Empiku [Aktualizacja: 23.03]
W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne.
Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com.
Z tego miejsca dziękujemy zespołowi ekspertów CERT za wsparcie w całym procesie i bardzo sprawną współpracę.
Przy tej okazji chcielibyśmy również przestrzec przed publikowaniem i powielaniem w przestrzeni publicznej niezweryfikowanych informacji, szczególnie w tak wrażliwej kwestii, jaką jest bezpieczeństwo danych.