10:37
1/2/2019

Dziś w nocy klienci księgarni XLM.pl otrzymali mail z ofertą kupna jej bazy danych. Prezes wydawnictwa Fronda.pl potwierdził dla Niebezpiecznika, że do włamania istotnie doszło.

Księgarnia XLM.pl reklamująca się jako katolicka Księgarnia Osób Myślących ma najwyraźniej poważny problem. Obecnie na jej stronie wyświetla się lakoniczny komunikat o pracach konserwacyjnych.

“All user data (…) for buying”

Niestety czytelnicy zarejestrowani w bazie mailingowej serwisu powiadomili nas, że w nocy otrzymali e-maile o temacie “Hacked”, w których zawarty był bardziej niepokojący komunikat. O sprawie napisało do nas około 100 osób.

Jeśli wierzyć tej wiadomości, ktoś zhackował księgarnię i wykradł dane na temat:

  • ponad 36,7 tys. użytkowników,
  • blisko 88 tys. zamówień,
  • płatności na kwotę przekraczającą 11 mln zł.

Nadawca e-maila twierdzi, że sprzeda dane pierwszej osobie, która wpłaci 1 bitcoina na wskazany adres. Do chwili napisania tego tekstu nikt jeszcze nie wpłacił pieniędzy na wskazany portfel.

Czekamy na wyjaśnienia

Z księgarnią XLM.pl kontaktowaliśmy się już telefonicznie. W firmie nie było nikogo kto mógłby nam udzielić informacji, ale pracownicy od razu wiedzieli w jakiej sprawie dzwoniliśmy. Obiecano nam, że wkrótce skontaktują się z nami osoby odpowiednie do udzielenia wyjaśnień od strony technicznej. Nie wątpimy zresztą, że teraz te osoby mają coś do zrobienia.

Niektórzy z naszych Czytelników również dzwonili do księgarni i usłyszeli od obsługi, że do kradzieży baz tak naprawdę nie doszło, a jedynie ktoś złośliwie powysyłał e-maile. Wyłączenie serwisu ma podobno związek z weryfikowaniem sprawy.

Aktualizacja 1.02.2010 13:05

Przed chwilą rozmawialiśmy przez telefon z Michałem Jeżewskim, prezesem wydawnictwa Fronda. Oto najważniejsze ustalenia.

  • Doszło do włamania i pobrania danych użytkowników. Nie ma jedynie pewności czy faktycznie w ręce włamywacza wpadły dane 36. tys. osób. Michał Jeżewski stwierdził, że “udało się częściowo przyblokować” włamywacza, ale niestety nie mamy tu szczegółów technicznych.
  • Sprawa została zgłoszona do UODO i wkrótce będzie zgłoszona na policję.
  • Dane, które mogły wyciec to imiona, nazwiska, adresy, numery telefonów, adresy e-mail.

Aktualizacja 1.02.2010 14:01

Na stronie księgarni pojawiło się oświadczenie. Dodaliśmy nasze pogrubienia.

Szanowni Klienci,

doszło do nieuprawnionego dostępu do danych osobowych klientów Księgarni Ludzi Myślących.
Dane osobowe, które mogły zostać wykradzione (jeśli zostały podane podczas składania zamówienia): adres e-mail, numer telefonu, adres doręczenia, dane firmy.

Bezzwłocznie po wykryciu naruszenia, dostęp został zablokowany.

Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych lub kontach bankowych. Nie zbieramy tych danych – są one przetwarzane przez zewnętrzne podmioty (PayU, PayPal, Bank Millenium).

Hasła do kont klientów nie były przechowywane w sposób jawny. Dodatkowo, wszystkie konta zostały zresetowane – należy na nowo ustawić hasło dostępu.

Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m. in. za pośrednictwem fałszywych wiadomości sms lub e-mail. Jako dodatkowy środek bezpieczeństwa zalecamy zmianę hasła, jeżeli używali Państwo takiego samego, w innych serwisach.

Naruszenie zostało zgłoszone na Policji oraz do Prezesa Urzędu Ochrony Danych Osobowych.

Zdecydowaliśmy się wyłączyć stronę księgarni do czasu wyjaśnienia sprawy i upewnienia się, że strona jest bezpieczna.

Bardzo przepraszamy za zaistniałą sytuację. Jesteśmy w trakcie przeprowadzania audytu bezpieczeństwa w celu ustalenia i wyeliminowania nieuprawnionego dostępu w przyszłości.

Jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami pocztą elektroniczną pod adresem: info@xlm.pl

Administratorem Twoich danych osobowych jest:
FRONDA PL sp. z o. o.
Łopuszańska 32
02-220 Warszawa
NIP: 5272399467

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Pewnie jakaś Grażyna miała haslo: grazyna123 lub 123456 i prawdopodobnie nie trzeba byc nawet hackerem. Może nawet jakiś gotowy bot szukał słownikowych haseł w wielu stronach. A księgarnie katolickie z pewnością mogą mieć słabsze zabezpieczenia. Wątpię aby to był polityczny atak :D

  2. Niech zgadnę. Jakiś pseudo sklepik napisany w PHP?

    • a co? księgarnie stać na cuda na kiju? takich stron w internecie są pierdyliardy i raczej o inwestycji w IT nie ma o czym gadać.

    • Jak ich nie stać to niech nie robią biznesu, wszyscy jadą na dziurawych gotówkach, skryptach pisanych przez pseudoprogramistow po kursie Udemy i starych wordpressach a potem płacz. Z 33k klientów nie stać na dedykowany soft albo porządny zespół? Firmy z 1mln obrotu miesięcznie z web pragną płacić 100zl miesięcznie za hosting, wyrzucić admina, do softu wziąć studenta. Potem są efekty.

    • a co ma php do tego? Gdyby to samo było napisane w Javie to już by nie wyciekło?

    • Skad taka pogarda dla ludzi, ktorzy sie doksztalcaja na Udemy, lub innym MOOC? Wiekszosc ludzi w Polsce po studiach wyzszych nie prowadzi kariery stricte w profilu ktory maja wpisany na dyplomie. Tak samo dyplom Polskich uczelni wyzszych wcale nie oznacza, ze ktos jest dobrym fachowcem. Pasja + praktyka + chec ciaglego doksztalcania sie (a MOOC sa idealnym miejscem na zdobywanie nowych umiejetnosci, nieraz o wiele bogatszym niz korporacyjne kursy Python/Java itd.) czynia specjaliste, a nie 5 lat odrobione na panstwowych uczelniach w Polsce, ktore w wiekszosci ciagna sie w moze pierwszej 500-tce rankingu swiatowego.

    • Jest kilka dużych sklepów sprzedających towaru za miliony złotych dziennie napisanych w PHP. To w czym jest napisane platforma sprzedażowa nie ma żadnego znaczenia :)

  3. Dzwonilem tam dzis do nich. Tez dostalem tego emaila.
    Odpowiedzieli ze wiedza o problemie ze ich zdaniem ktos sie pod nich podszyl i ze zadne dane nie zostaly wykradzione, ale na wszelki wypadek wylaczyli serwis i pracuja nad weryfikacja co sie dokladnie stalo.

    • Oczywiście, nigdy przy żadnym ataku nikt nie wykrada danych, nic nie wzięli, tak jak przy ataku na Morele ;D

  4. Maile zostały wysłane z ich serwera (62.121.130.138/fronda.ceti.pl/mail.xlm.pl), więc włamanie z pewnością było. O podszyciu jako takim trudno mówić, bo w mailu nikt się pod księgarnię nie próbuje przecież podszyć. Nie pisze w jej imieniu, tylko swoim, choć nie podając swoich danych osobowych. Natomiast wykorzystując serwer pocztowy księgarni uwiarygadnia włamanie. Poza tym podał statystyki, które księgarnia może łatwo sprawdzić. Chyba, że włamywacz uzyskał dostęp tylko do poczty a nie danych transakcyjnych, ale wtedy księgarnia taką ściemę od razu by zweryfikowała. Na wykradzenie bazy transakcji wskazuje też sam fakt wejścia w posiadanie listy e-maili klientów.

  5. To jak bez wykradzenie (ogólniej: nieuprawnionego dostępu) ktoś byłby w stanie rozesłać spam do klientów. I to świeżej kopii danych, bo zakupy tam robiłem w grudniu po raz pierwszy w życiu.

  6. Jak chodzi o sklepy internetowe.

    1. Otwieram Tor Browser.
    2. Tworzę nowego maila. Onet.pl, vfemail.net, wp.pl, o2.pl lub innego. Nieważne, skrzynka nie będzie potrzebna na długo.
    3. Wymyślam imię, nazwisko, adres.
    4. Wchodzę na stronę sklepu, zamawiam. Szukam takiego, który ma oddział w moim mieście.
    5. Biorę gotówkę, wsiadam w autobus, odbieram osobiście.

    Jak nie ma siedziby w moim mieście, to idę na pocztę, robię przelew i wybieam przesyłkę do paczkomatu. Wbrew temu, co się niektórym wydaje, do paczkomatów wcale nie potrzebny jest numer telefonu. Ten sam kod odbioru przychodzi na maila. Numer można wymyślić.

    Może ciut więcej niedogodności, ale wycieki danych mam w nosie. Inaczej nie da rady.

    • mailinator(dot)com

      Mniej roboty.

  7. W zlepku słów “katolicka Księgarnia Osób Myślących” widzę pewną sprzeczność.

    • Tego, jakże merytorycznego, komentarza nie mogło tutaj zabraknąć.

  8. Aktualizacja 1.02.2010 14:01
    Witamy w roku 2019 :)

  9. Czyli prawdopodobnie ktoś zrobił bazę danych do zamówień z statusem zamówienia. Wystarczyło tylko odgadnąć link do takiego statusu. Wydaje mi się że tam są wszystkie te dane które miały wyciec.
    Zdaje się mi też ze wiele sklepów stosuje praktykę kliknij link aby obejrzeć status swojego zamówienia.

  10. Więcej programistów i specjalistów po kursach Udemy i podejścia ze każdy może sobie budować strony i appki i hosting postawić albo studenta zatrudnić. Niech walą kary to się naucza.

  11. Kupowałem przez tą księgarnię, chyba bez zakładania konta i żadnych maili nie ma Może nie uzyskali całej bazy.

  12. W tym sklepie sprzedawano książkę prezesa spółki docelowej budującej CPK – Pana Jacka Bartosiaka, którą kupiło bardzo wiele osób będących członkiem establishmentu politycznego, wojskowego i kulturalnego. ….

  13. Słabych informatyków mają :)

  14. “Aktualizacja 1.02.2010 14:01”

    Ogrzewany kotlet po 9 latach ? ;)

  15. W maju miała się tam ukazać książka o myśli geopolitycznej Dugina więc nie wykluczałbym tropu rosyjskiego.

  16. Aktualizacje artykułu pochodzą z “1.02.2010”? Przez chwilę miałem rozterkę, czy nie dokopałem się do jakiegoś starego, gdy otwierałem kilka odnośników.

    Co do samej sprawy – konta tam nie mam, mimo to mam nadzieję, że mają mocniej hashowane hasła od md5 na morelach. Do Keepasa nie mogę się przestawić, zbyt problematyczny na dłuższą metę jak się loguję na innych urządzeniach, a sama zmiana hasła (mimo, iż bardziej odporne na brute force attack) w serwisach gdzie go używam/używałem męcząca.

    Oby złapali hackera.

  17. Hmmm…

    Przecież to bajecznie proste. Po jaką chol… sklep przechowuje dane klientów? Przecież nie przechowuje danych płatniczych, to może z resztą danych zrobić to samo?

    U operatora spedycyjnego rejestrujemy list przewozowy. Podajemy dane adresowe (ale już imienia i nazwiska nie podajemy). Otrzymujemy klucz nadania przesyłki, klucz autoryzacyjny do jej wydania, klucz dostępu do stanu przesyłki.

    Klucz nadania przesyłki podajemy w sklepie. Sklep, nadając przesyłkę, podaje klucz nadania spedytorowi, a ten przetwarza przesyłkę uwierzytelniając nas przy jej dostarczeniu do naszych drzwi. Klucz nadania jest unieważniany w momencie nadania przesyłki.

    Sklep nie potrzebuje ani naszego emaila, ani numeru telefonu. Jedyne co musi nam dać, to klucz autoryzacji stanu zamówienia. Sprawdzając stan zamówienia, podajemy klucz autoryzacji.

    Jeżeli ktoś wejdzie w posiadanie bazy sklepu, będzie miał tylko zestawienie {zamówienie, klucz nadania przesyłki, klucz płatności}. Ten, kto ukradnie bazę spedytora, będzie miał bazę lokalizacji geograficznych, nawet bez danych autoryzacyjnych do wydania przesyłek.

    • To jest prawdopodobnie nie najgorsze (nie analizowałem dokładnie) rozwiązanie nieistniejącego problemu. Otóż ani sklep, ani spedytor nie są zainteresowani “anonimizacją” klienta. Co więcej 99,9% klientów też ma to w… nosie. Czyli nikt za to nie zapłaci. I nawet RODO tego nie zmieni.

Odpowiadasz na komentarz XawerySawicki

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: