Dane klientów Cyfrowe.pl wykradzione

10/04/2020, 11:46 · · · 4

Wczoraj w nocy, o 22:56, dostałem maila od Cyfrowe.pl z informacją o tym, że moje dane zostały wykradzione z ich serwisu.

Z przykrością informujemy, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do sklepu części naszych Klientów. Chodzi o adres email (login) oraz hasło. Istnieje ryzyko, że dotyczy to wszystkich klientów i również pozostałych Twoich danych, jak imię, nazwisko, numer telefonu czy adres dostawy zamówienia. Nieuprawniony dostęp nie dotyczy informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych, gdyż Cyfrowe.pl nie gromadzi tych danych – są one gromadzone w bazach operatora płatności i banku.

Kradzież tych danych, czyli imienia, nazwiska, numeru telefonu oraz adresu dostawy zamówienia, jest bardzo niebezpieczne, bo pozwala złodziejom na możliwość uzyskania dodatkowych danych poprzez social engineering. Teoretycznie, jak uzyskają jeszcze kilka informacji, mogliby np. zgłosić moją kartę SIM jako kradzioną i zamówić sobie nową, dzięki czemu mieliby dostęp np. do kodów SMS. Dlatego tak ważne jest korzystanie z aplikacji do autoryzacji hasłami jednorazowymi, a nie kodami SMS. Takie oferuje chociażby Authy czy 1Password. Nie wiemy niestety czy hasła były przetrzymywane w formie hashów czy po prostu były zapisane plain tekstem, ale nie ma to większego znacznia, bo Cyfrowe.pl już zablokowało wszelkie hasła i musiałem skorzystać z opcji odzyskiwania, aby je zmienić.

Co ciekawe, kilka minut po zmianie hasła dostałem maila z prośbą o zresetowanie hasła. Może to błąd ich systemu, który wysłał tego maila dwa razy (o 11:30 i 11:32, zaraz po tym jak je zmieniłem), a może ktoś próbował coś zmajstrować.

Co robić?

  1. Jeśli korzystaliście z hasła w Cyfrowe.pl w innych serwisach, to natychmiast je zmieńcie.
  2. Jeśli nie macie jeszcze włączonego 2FA poprzez Authy, 1Password lub podobnej usługi do generowania jednorazowych haseł tymczasowych, to czas to zrobić.
  3. Jeśli nie korzystacie z narzędzia do zarządzania hasłami, jak chociażby iCloud Keychain w iOS, iPadOS i macOS, lub 1Password, to czas w końcu zacząć z tego korzystać.
4

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.