28/6/2024
Po informacji o zhackowaniu Agata Meble, cześć z Was podesłała nam e-maile, jakie wysyłały do Was 3 serwisy związane z bieganiem i kolarstwem: sklepdlabiegaczy.pl, runsport.pl, cycleshop.pl. Właścicielami tych marek jest jedna i ta sama firma, która stwierdziła “nieautoryzowany dostęp do serwera sklepu przez osobę nieuprawnioną poprzez złamanie zabezpieczeń“. Oto treść wiadomości jaka została kilka dni temu rozesłana do klientów:
Zawiadomienie o możliwym naruszeniu ochrony danych osobowych
w sklepie internetowym pod adresem: www.sklepdlabiegaczy.pl
Szanowny Panie/Szanowna Pani
Realizując obowiązek wynikający z art. 34 RODO, przekazujemy informację o możliwym naruszeniu ochrony Pana/Pani danych osobowych. Szczegółowe informacje związane z naruszeniem, zostały wskazane poniżej.
Charakter oraz okoliczności naruszenia: Dnia 20.06.2024 r. Administrator Pani/Pana Danych Osobowych: RUNSPORT S.C. G. BĘDKOWSKI S. KRAWCZYK , z siedzibą Tarnów, ul. Rozwojowa 7, NIP: 8733174622; REGON: 120731363; adres e-mail: sklep@sklepdlabiegaczy.pl – zwana dalej Administratorem stwierdziła możliwe naruszenie bezpieczeństwa przetwarzanych danych osobowych w związku z nieautoryzowanym dostępem do serwera sklepu przez osobę nieuprawnioną, poprzez złamanie zabezpieczeń. W wyniku powyższego osoba nieuprawniona mogła uzyskać wgląd do Pani/Pana danych osobowych zawartych w zaszyfrowanej kopii bazy danych naszego sklepu internetowego: imienia, nazwiska, adresu e-mail, adresu korespondencyjnego, hasła w formie zaszyfrowanej. Jednocześnie informujemy, że nasz sklep internetowy nie przechowuje Państwa danych kart płatniczych, debetowych czy kredytowych. Obsługa płatności odbywa się za pośrednictwem zewnętrznego pośrednika płatności, który zabezpiecza i przechowuje Państwa dane. Nasz sklep internetowy nie przechowuje również Państwa danych wynikających z dokumentów tożsamości.
Podjęte działania w związku z wykrytym naruszeniem
W związku z powyższym Administrator podjął działania, mające na celu zminimalizowanie ewentualnych, negatywnych skutków powyższego naruszenia. Administrator zgłosi wystąpienie naruszenia ochrony Państwa danych osobowych do Prezesa Urzędu Danych Osobowych, zgodnie z art. 33 RODO.
Możliwe konsekwencje naruszenia ochrony danych osobowych oraz proponowane środki mające na celu zminimalizowanie ewentualnych, negatywnych skutków:
W związku z faktem, że przedmiotowe naruszenie mogło doprowadzić do udostępnienia Państwa danych osobowych innej osobie, informujemy o ryzyku zaistnienia negatywnych skutków w postaci:
– Próby poszycia się pod Panią/Pana, w tym np. zarejestrowania usług na Pani/Pana dane.
– założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych),
– podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej)
– Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie celem uzyskania dostępu do usług i instytucji, które udzielają informacji przez telefon, po podaniu danych identyfikujących.
– Osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilno-prawnych.
– Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości.
Mając na uwadze powyższe, w celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby:
– ignorować nieoczekiwane wiadomości, w szczególności te namawiające do podjęcia dodatkowego działania (np. poprzez odesłanie wiadomości sms), w tym potwierdzania swojej tożsamości za pośrednictwem adresu e-mail oraz
– zachować szczególną ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.
– Dodatkowo zalecamy zmianę haseł na stronach i serwisach internetowych, jeżeli używane na nich hasło było tożsame z tym używanym w ramach konta w naszym sklepie internetowym.
Jednocześnie informujemy o możliwości:
– Wykupienia abonamentu w BIK. Umożliwia on otrzymywanie tzw. alertów bezpieczeństwa za każdym razem, gdy Państwa dane zostaną wykorzystane w instytucji korzystającej z baz danych BIK (Biura Informacji Kredytowej) ze szczególnym uwzględnieniem instytucji finansowych.
– Zastrzeżenia numeru PESEL za pośrednictwem:
– aplikacji mObywatel.
– przez portal www.gov.pl lub
– w urzędzie gminy.
Zastrzeżenie numeru PESEL uniemożliwi kradzież tożsamości oraz wzięcie kredytu na Pani/Pana dane.
Jeśli dowie się Pani/Pan o wykorzystaniu swoich danych osobowych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam informacji.
Więcej informacji:
W razie jakichkolwiek pytań lub wątpliwości, prosimy o kontakt za pośrednictwem korespondencji e-mail: sklep@sklepdlabiegaczy.pl
Podsumowanie
Nie ma tu w zasadzie czego komentować, artykuł dodajemy “z kronikarskiego obowiązku”. Odnotujmy może to, że wszystkie sklepy pracują na platformie “selly.pl” ale oświadczenie mówi o dostępie do kopii bazy (zaszyfrowanej), więc chodzić może o dostęp do zupełnie innego zasobu.
Co ciekawe, spółka radzi aby …zastrzec PESEL, chociaż zakres danych objętych wyciekiem nie zawiera ani PESEL-u, ani innych danych, które mogłyby posłużyć do wykonania operacji przed którą chroni zastrzeżenie PESEL-u. Ale w sumie, PESEL lepiej mieć zastrzeżony niż nie, więc choć to raczej bezpodstawna rada, to nie zaszkodzi ;)
Naszym zdaniem, jeśli byliście klientami tych 3 serwisów, to na pewno warto, abyście zmienili hasła do wszystkich kont, w których mieliście hasła podobne do tych, użytych w powyższych 3 objętych incydentem serwisach. Albo zacznijcie w końcu korzystać z managera haseł.
Na tej platformie byly umieszczone rowniez sklepy erotyczne, tez poszly maile do klientow. Tu dopiero moze byc niezle pole do zmonetyzowania wycieku.