Wyciekły dane klientów Super-Pharm

Sieć drogerii Super-Pharm poinformowała o naruszeniu ochrony danych osobowych klientów swojego sklepu internetowego.

Wyciek danych osobowych Super-Pharm - na zdjęciu haker przed komputerami a w tle logo drogerii Super-Pharm
fot. Depositphotos

Przyczyną naruszenia był atak hakerski wykorzystujący lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę. W poniedziałek 21 października 2024 roku wykryto potencjalny wyciek części danych klientów serwisu internetowego Super-Pharm.

➔ PRZECZYTAJ TAKŻE: Co zrobić, jeśli przypadkowo klikniesz link phishingowy?

W wyniku naruszenia osoba nieuprawniona pobrała z bazy dane klientów obejmujące imię i nazwisko, adres e-mail oraz hash hasła do konta, a w przypadku niektórych klientów także datę urodzenia lub informacje o płci.

W bazie danych, do której uzyskał dostęp atakujący, znajdowały się również dane dotyczące składanych zamówień/rezerwacji, np. adres dostawy czy numer telefonu oraz informacje związane z kontem w serwisie internetowym. Nie ma dowodów na pobranie tych danych przez osoby nieautoryzowane.

Drogeria zapewnia, że hasła do logowania na konto były zahaszowane. Haszowanie to proces kryptograficzny, który służy do ochrony haseł poprzez ich zamianę na unikalny skrót (hash), zamiast przechowywania ich w oryginalnej formie. Naruszenie nie dotyczy danych dotyczących uczestnictwa w Klubie Super-Pharm ani danych logowania do aplikacji mobilnej Super-Pharm.

Co już zrobiono?

Natychmiast podjęto działania mające na celu ochronę danych i ograniczenie skutków naruszenia:

  • Zablokowanie dostępu: dostawca zablokował atakującemu dostęp do systemu, aby zapobiec dalszemu wyciekowi danych.
  • Zabezpieczenia: dostawca natychmiast usunął w systemie lukę, która umożliwiała atak. Wdrożono też dodatkowe zabezpieczenia i narzędzia ochrony danych, aby zapobiec podobnym sytuacjom w przyszłości.
  • Zgłoszenie incydentu do odpowiednich organów: powiadomiono Prezesa Urzędu Ochrony Danych Osobowych oraz policję i CERT Polska zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie, działający przy państwowym instytucie NASK).
  • Weryfikacja bezpieczeństwa: przeprowadzono szczegółowy skan bezpieczeństwa mający na celu identyfikację przyczyn naruszenia oraz wzmocnienie środków ochronnych.
  • Monitorowanie sieci: drogeria stale monitoruje zasoby sieci, w celu wykrycia czy doszło do ujawnienia danych lub innej aktywności ze strony hakerów.

➔ PRZECZYTAJ TAKŻE: Jak sprawdzić, czy Twoje dane wyciekły z ALAB?

Jakie mogą być konsekwencje naruszenia danych w Super-Pharm?

Ataki hakerskie mogą wiązać się z utratą kontroli nad swoimi danymi, dlatego należy zwrócić uwagę na następujące potencjalne zagrożenia:

  • Możliwe ataki na inne systemy: mając podstawowe dane klientów, osoby nieuprawnione mogą próbować złamać zahaszowane informacje i uzyskać dostęp do kont w różnych serwisach, jeśli ktoś używał w nich tych samych haseł.
  • Spam: użytkownicy mogą otrzymywać niezamówione oferty, np. drogą e-mailową.
  • Phishing: istnieje ryzyko prób wyłudzenia danych osobowych przez osoby podszywające się pod zaufane instytucje.
  • Wykorzystanie adresu e-mail: osoby nieuprawnione mogą próbować wykorzystać adres e-mail do zakładania kont w internecie.

Ponadto nieuprawniony dostęp do danych znajdujących się w bazie (innych niż pobrane przez atakującego) takie jak np. szczegóły zamówień/rezerwacji internetowych, może prowadzić do dalszych potencjalnych konsekwencji dla prywatności użytkowników sklepu internetowego Super-Pharm, takich jak ryzyko ujawnienia danych, wykorzystanie prywatnych informacji związanych z zamówieniem czy inne szkody wizerunkowe.

Co zrobić, aby się chronić?

Jeśli posiadasz konto w sklepie internetowym Super-Pharm, to zmień hasło na stronie odzyskiwania hasła drogerii lub po zalogowaniu na swoje konto.

Jeśli wykorzystujesz to samo lub podobne hasło również w innych serwisach, koniecznie zmień go również w innych portalach, serwisach, platformach, sklepach czy systemach. To kolejny powód, aby nie używać tych samych haseł w różnych serwisach!

Super-Pharm rekomenduje także:

  • Dokładne sprawdzanie nadawców wiadomości, które możesz otrzymywać od potencjalnie znanych nadawców.
  • Zachowanie szczególnej ostrożności w przypadku otrzymania z nieznanych źródeł podejrzanych wiadomości e-mail, zwłaszcza tych zawierających linki lub prośby o podanie dodatkowych danych.
  • Unikanie podawania swoich danych osobowych w odpowiedzi na podejrzane wiadomości (np. e-mail).
  • Nieklikanie w linki i załączniki w wiadomościach pochodzących od nieznanych nadawców.
  • Monitorowanie swoich kont online pod kątem nieautoryzowanych działań.
  • W razie zauważenia podejrzanych aktywności, niezwłoczne zgłoszenie incydentu do odpowiednich organów (Policja, Urząd Ochrony Danych Osobowych).

Co dalej?

Jeśli masz jakiekolwiek pytania lub wątpliwości związane z tym incydentem, możesz skontaktować się z Biurem Obsługi Klienta drogerii lub Krzysztofem Pawelcem – inspektorem ochrony danych (IOD).

Super-Pharm wysłało e-maila z informacją o incydencie do swoich klientów 26 października 2024 roku i przeprosiło za wszelkie niedogodności związane z incydentem.

➔ Obserwuj nas w Google News, aby być na bieżąco!

źródło: Super-Pharm
zdjęcie wykorzystane we wpisie pochodzi z Depositphotos