Ostatnio w mediach zapanowało poruszenie w związku z poważnym incydentem dotyczącym sklepu internetowego *sklepbaterie.pl*.

Grupa hakerska Funksec ogłosiła 19 grudnia 2024 roku, że strona znalazła się na ich liście ofiar ataku. Cyberprzestępcy żądali wykupu w wysokości 10 milionów dolarów, aby nie publikować skradzionych danych. Jako dowód ataku, opublikowano zrzuty ekranu ukazujące fragmenty wykradzionych plików, które 6 stycznia br. ujawniono na znanej platformie do anonimowego przechowywania danych.

Niezdecydowani cyberprzestępcy

Według informacji, pierwszym terminem płatności okupu miał być 1 stycznia 2025 roku. Dwa dni później pojawił się wpis informujący o „ostatnim ostrzeżeniu”, a także zapowiedź publikacji 28 gigabajtów danych w ciągu najbliższych dwóch dni. W końcu 6 stycznia, grupa Funksec opublikowała link do pobrania 32 megabajtowego archiwum, co sugeruje, że opublikowali znacznie mniej informacji niż początkowo zapowiadali po upłynięciu "deadline'u".

Wielki wyciek danych Polaków

Analizując opublikowane archiwum, można znaleźć 69 plików w formacie .csv, które zawierają dane dotyczące ponad 200 tysięcy klientów. Szczególnie niepokojące jest, że plik clients.csv składa się z 218,942 rekordów, zawierających m.in. loginy, numery telefonów, adresy e-mail, hashe haseł oraz imiona i nazwiska.

Zwraca uwagę, że aż 15,790 loginów zaczyna się od frazy „login”, co sugeruje, że mogą być one stworzonymi na próbę przez hakerów. Z kolei pozostałe dane zdają się być autentyczne, chociaż kilka z nich jest spamem, co stanowi zaledwie 1,6% wszystkich rekordów. Dodatkowo, z analiz wynika, że 67,932 hasła były przechowywane przy użyciu algorytmu bcrypt, a reszta prawdopodobnie w formacie MD5, co budzi dodatkowe obawy o bezpieczeństwo.

W pliku z danymi kontaktowymi, 176,565 numerów telefonów ujawnia, że 96,4% rekordów zawiera adres e-mail, z czego większość pochodzi z domen @gmail.com i @wp.pl. Potencjalni klienci, którzy używają tych samych danych logowania w wielu miejscach, są w szczególnie niebezpiecznej sytuacji.

Analiza innych plików

Oprócz pliku z danymi klientów, kolejnym istotnym dokumentem jest clients_adresses.csv, składający się z 194,005 linijek, dotyczący adresów zamówień, zarówno firmowych, jak i prywatnych. Analiza tego pliku wymaga jednak szczegółowej pracy.

Stanowisko firmy oraz zgłoszenia

W związku z incydentem, kontaktowaliśmy się z przedstawicielami sklepbaterie.pl. Prezes poinformował, że sprawa została zgłoszona do Centrum Bezpieczeństwa Cyberprzestrzeni oraz UODO. Podkreślił również, że wykradzione dane są najprawdopodobniej archiwalne i nie pochodzą z aktualnych systemów.

Na szczęście, firma podjęła odpowiednie kroki, w tym zgłoszenie incydentu do CERT Polska oraz kontakt z dostawcą usług hostingowych w celu usunięcia archiwum. Użytkownicy są zachęcani do zmiany haseł oraz monitorowania swoich kont, aby zminimalizować ryzyko wykorzystania skradzionych danych. W dobie rosnących cyberzagrożeń, to przypomnienie o konieczności dbałości o bezpieczeństwo w sieci staje się szczególnie ważne!

Czy czujesz się bezpiecznie w sieci?

Jakie kroki podejmujesz, aby chronić swoje dane? Zostaw komentarz!