Wyciekły dane jednej z najpopularniejszych internetowych drogerii i aptek w Polsce. Jeżeli mieliście tam konto, to jesteście zagrożeni. Hakerzy uzyskali informacji do imion, nazwisk, adresów e-mail, haseł (zaszyfrowanych jako hash) oraz numerów telefonów wszystkich klientów firmy Super-Pharm.
Co zrobić po wycieku danych z Super-Pharm?
Jeżeli korzystaliście z drogerii Super-Pharm i mieliście ustawione takie same hasło jak w innym miejscu, to radzę je szybko zmienić. Ponadto w najbliższym czasie możecie spodziewać się ataków phishingowych na Waszą osobę (scamerskich telefonów oraz wiadomości e-mail). Osobom, których hasło wyciekło polecam także zastrzec PESEL – tutaj instrukcja jak to zrobić przez Internet.
E-mail o wycieku danych od Super-Pharm
Treść wiadomości, którą otrzymali klienci Super-Pharm możecie przeczytać poniżej.
Szanowni Klienci,
wysyłamy tę wiadomość, ponieważ z przykrością musimy poinformować o naruszeniu ochrony danych dotyczącym serwisu Super-Pharm, służącego do sprzedaży internetowej produktów drogeryjnych i aptecznych. Przyczyną naruszenia był atak hakerski wykorzystujący lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę.
Przepraszamy za wszelkie niedogodności związane z incydentem i zapewniamy, że traktujemy tę sprawę z najwyższą powagą. Kwestia bezpieczeństwa jest dla nas priorytetem, dlatego natychmiast podjęliśmy działania mające na celu zablokowanie nieautoryzowanego dostępu do systemu i wyeliminowanie źródła problemu.
Co się wydarzyło?
21 października 2024 r. wspólnie z dostawcą wykryliśmy potencjalny wyciek części danych klientów naszego serwisu internetowego.
W wyniku naruszenia osoba nieuprawniona pobrała z naszej bazy dane klientów obejmujące imię i nazwisko, adres e-mail oraz hash hasła do konta, a w przypadku niektórych klientów także datę urodzenia lub informacje o płci.
W bazie danych, do której uzyskał dostęp atakujący, znajdowały się również dane dotyczące składanych zamówień/rezerwacji, np. adres dostawy czy numer telefonu oraz informacje związane z kontem w serwisie internetowym. Nie ma dowodów na pobranie tych danych przez osoby nieautoryzowane.
Zapewniamy, że hasła do logowania na konto były zahaszowane. Haszowanie to proces kryptograficzny, który służy do ochrony haseł poprzez ich zamianę na unikalny skrót (hash), zamiast przechowywania ich w oryginalnej formie.
Podkreślamy, że naruszenie nie dotyczy danych dotyczących uczestnictwa w Klubie Super-Pharm ani danych logowania do aplikacji mobilnej Super-Pharm.
Podjęte kroki
Natychmiast podjęliśmy działania mające na celu ochronę Państwa danych i ograniczenie skutków naruszenia:
Zablokowanie dostępu: nasz dostawca zablokował atakującemu dostęp do systemu, aby zapobiec dalszemu wyciekowi danych.
Zabezpieczenia: dostawca natychmiast usunął w systemie lukę, która umożliwiała atak. Wspólnie wdrożyliśmy też dodatkowe zabezpieczenia i narzędzia ochrony danych, aby zapobiec podobnym sytuacjom w przyszłości.
Zgłoszenie incydentu do odpowiednich organów: powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych oraz policję i CERT Polska zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w Internecie, działający przy państwowym instytucie NASK).
Weryfikacja bezpieczeństwa: przeprowadziliśmy szczegółowy skan bezpieczeństwa mający na celu identyfikację przyczyn naruszenia oraz wzmocnienie środków ochronnych.
Monitorowanie sieci: stale monitorujemy zasoby sieci, w celu wykrycia czy doszło do ujawnienia danych lub innej aktywności ze strony hakerów.
Jakie mogą być konsekwencje?Ataki hakerskie mogą wiązać się z utratą kontroli nad swoimi danymi, dlatego zwracamy Państwa uwagę na następujące potencjalne zagrożenia:
Możliwe ataki na inne systemy: mając Państwa podstawowe dane, osoby nieuprawnione mogą próbować złamać zahaszowane informacje i uzyskać dostęp do Państwa kont w różnych serwisach, jeśli używają Państwo w nich tych samych haseł.
Spam: mogą Państwo otrzymywać niezamówione oferty, np. drogą mailową.
Phishing: istnieje ryzyko prób wyłudzenia Państwa danych osobowych przez osoby podszywające się pod zaufane instytucje.
Wykorzystanie adresu e-mail: osoby nieuprawnione mogą próbować wykorzystać adres e-mail do zakładania kont w Internecie.
Ponadto nieuprawniony dostęp do danych znajdujących się w bazie (innych niż pobrane przez atakującego) takie jak np. szczegóły zamówień/rezerwacji internetowych, może prowadzić do dalszych potencjalnych konsekwencji dla Państwa prywatności, takich jak ryzyko ujawnienia danych, wykorzystanie prywatnych informacji związanych z zamówieniem czy inne szkody wizerunkowe.Co zrobić, aby się chronić?
Zmienić hasło wykorzystywane w naszym systemie klikając w link: superpharm.pl/cus…ord.
Jeśli wykorzystują Państwo to samo lub podobne hasło również w innych miejscach w Internecie, dodatkowo zalecamy zmianę go również w innych portalach, serwisach, platformach, sklepach czy systemach.
Rekomendujemy także:
Dokładne sprawdzanie nadawców wiadomości kierowanych do Państwa.
Zachowanie szczególnej ostrożności w przypadku otrzymania z nieznanych źródeł podejrzanych wiadomości e-mail, zwłaszcza tych zawierających linki lub prośby o podanie dodatkowych danych.
Unikanie podawania swoich danych osobowych w odpowiedzi na podejrzane wiadomości (np. e-mail).
Nieklikanie w linki i załączniki w wiadomościach pochodzących od nieznanych nadawców.
Monitorowanie swoich kont online pod kątem nieautoryzowanych działań.
W razie zauważenia podejrzanych aktywności, niezwłoczne zgłoszenie incydentu do odpowiednich organów (Policja, Urząd Ochrony Danych Osobowych).
Co dalej?Jeśli mają Państwo jakiekolwiek pytania lub wątpliwości związane z incydentem, prosimy o kontakt z:
Biurem Obsługi Klienta – superpharm.pl
p. Krzysztofem Pawelcem – naszym inspektorem ochrony danych pod adresem e-mail: ochronadanych@superpharm.pl lub listownie na adres: Super-Pharm sp. z o.o., ul. Domaniewska 48, 02-672 Warszawa, z dopiskiem “IOD”.
Z poważaniem,
