Dane klientów Cyfrowe.pl wykradzione
Wczoraj w nocy, o 22:56, dostałem maila od Cyfrowe.pl z informacją o tym, że moje dane zostały wykradzione z ich serwisu.
Z przykrością informujemy, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do sklepu części naszych Klientów. Chodzi o adres email (login) oraz hasło. Istnieje ryzyko, że dotyczy to wszystkich klientów i również pozostałych Twoich danych, jak imię, nazwisko, numer telefonu czy adres dostawy zamówienia. Nieuprawniony dostęp nie dotyczy informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych, gdyż Cyfrowe.pl nie gromadzi tych danych – są one gromadzone w bazach operatora płatności i banku.
Kradzież tych danych, czyli imienia, nazwiska, numeru telefonu oraz adresu dostawy zamówienia, jest bardzo niebezpieczne, bo pozwala złodziejom na możliwość uzyskania dodatkowych danych poprzez social engineering. Teoretycznie, jak uzyskają jeszcze kilka informacji, mogliby np. zgłosić moją kartę SIM jako kradzioną i zamówić sobie nową, dzięki czemu mieliby dostęp np. do kodów SMS. Dlatego tak ważne jest korzystanie z aplikacji do autoryzacji hasłami jednorazowymi, a nie kodami SMS. Takie oferuje chociażby Authy czy 1Password. Nie wiemy niestety czy hasła były przetrzymywane w formie hashów czy po prostu były zapisane plain tekstem, ale nie ma to większego znacznia, bo Cyfrowe.pl już zablokowało wszelkie hasła i musiałem skorzystać z opcji odzyskiwania, aby je zmienić.
Co ciekawe, kilka minut po zmianie hasła dostałem maila z prośbą o zresetowanie hasła. Może to błąd ich systemu, który wysłał tego maila dwa razy (o 11:30 i 11:32, zaraz po tym jak je zmieniłem), a może ktoś próbował coś zmajstrować.
Co robić?
- Jeśli korzystaliście z hasła w Cyfrowe.pl w innych serwisach, to natychmiast je zmieńcie.
- Jeśli nie macie jeszcze włączonego 2FA poprzez Authy, 1Password lub podobnej usługi do generowania jednorazowych haseł tymczasowych, to czas to zrobić.
- Jeśli nie korzystacie z narzędzia do zarządzania hasłami, jak chociażby iCloud Keychain w iOS, iPadOS i macOS, lub 1Password, to czas w końcu zacząć z tego korzystać.
Wojtek Pietrusiewicz
Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.
Komentarze: 4
Co ciekawe zaczyna to być dosyć popularna forma udostępnienia danych klientów innym podmiotom tzw. “metoda na włam”, gdyż nie ponosi się żadnych konsekwencji z tego tytułu. Przykłady: mo..le.pl, virgi.m…le.pl etc.
Morele to wiem, ale Virgin też miało wyciek?
Wyciek z cyfrowe.pl to świetna baza danych dla złodziei. Towar bardzo drogi, chodliwy i pożądany na ryku wtórnym. Teraz w czyichś rękach są adresy i wiedza gdzie tego drogiego sprzętu szukać.
No niestety ja od nich do dnia dzisiejszego żadnej informacji o włamie nie dostałem…
Jak to nie ma żadnego znaczenia?! To skandaliczne praktyki, żeby administratorzy widzieli jakie użytkownicy mają hasła! Co z tego, że zmienili hasła jak te same loginy i hasła wyciekły i mogą być używane np. w portalach aukcyjnych czy innych miejscach gdzie wykorzystanie ich może mieć poważne konsekwencje dla ofiary wycieku.
Zmiana hasła na cyfrowe.pl mnie nie ustrzeże przed niczym. Najwyżej ktoś mógłby zrobić zmówienie na mnie którego bym nie odebrał. Gorzej jak wystawi jakieś atrakcyjne przedmioty po okazyjnych cenach na Allegro, OLX czy innych serwisach. Może przejąć dostęp do kont społecznościowych, poczty i innych stron gdzie wykorzystywane było to hasło.
Za takie przechowywanie haseł firmy z automatu powinny dostawać maksymalną karę. Dane powinny być przechowywane w formie zabezpieczonej, jeżeli nie były szyfrowane, to nawet osoby administrujące sklepem cyfrowe.pl mogły sobie przeglądać nasze dane i z ciekawości wchodzić na inne serwisy. Takie sytuacje już miały miejsca.