9:56
10/4/2020

Kradzież danych klientów z Cyfrowe.pl

Od wczoraj setki czytelników zgłosiło nam, że na adresy e-mail podane w serwisie Cyfrowe.pl otrzymali oświadczenie o następującej treści:

Szanowna Klientko, Szanowny Kliencie,

Z przykrością informujemy, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do sklepu części naszych Klientów. Chodzi o adres email (login) oraz hasło. Istnieje ryzyko, że dotyczy to wszystkich klientów i również pozostałych Twoich danych, jak imię, nazwisko, numer telefonu czy adres dostawy zamówienia. Nieuprawniony dostęp nie dotyczy informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych, gdyż Cyfrowe.pl nie gromadzi tych danych – są one gromadzone w bazach operatora płatności i banku.

Jakie podjęliśmy kroki?

W celu zminimalizowania negatywnych skutków, bezzwłocznie zostały zmienione hasła dostępowe do Twojego konta w naszym sklepie. W związku z tym, podczas kolejnego logowania nastąpi konieczność przejścia procedury odzyskiwania hasła dostępowego.

Każdy użytkownik naszego sklepu, aby odzyskać dostęp do swojego konta, będzie musiał przejść procedurę ustawienia hasła na nowo, według zaostrzonych wymogów bezpieczeństwa haseł.

Podjęliśmy również działania wymagane prawem w tego typu sytuacjach. W trybie natychmiastowym przystąpiliśmy do ponownego przeglądu bezpieczeństwa systemu sklepu i powiązanej infrastruktury informatycznej oraz zabezpieczenia dowodów z działań osób trzecich.

Co powinieneś zrobić?

Wejdź do sklepu Cyfrowe.pl i zmień hasło do swojego konta w sklepie.

Jakie są zagrożenia?

Istnieje ryzyko, że ujawnione hasła mogą być wykorzystane w celu dostępu do innych kont, dlatego jeśli użyłeś tego hasła na innej stronie, prosimy o jego niezwłoczną zmianę także w innych serwisach internetowych.

Być może niepowołane osoby będą kierować na Twój adres email niechciane wiadomości (spam), chcąc skłonić Cię do jakiś działań typu kliknięcie w link, instalacja jakiegoś oprogramowania na komputerze. Nie odpowiadaj na te wiadomości oraz nie klikaj w linki w podejrzanych wiadomościach e-mail.

Chcemy zapewnić Cię, że podejmujemy wszelkie niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości. Obecnie nasz zespół, z udziałem Zarządu spółki Cyfrowe.pl, pracuje nad tą sprawą. Kwestia bezpieczeństwa danych jest dla nas niezmiernie ważna. Jest nam niezmiernie przykro, że spotyka to naszych Klientów.

Jeśli masz jakieś pytania lub wątpliwości prosimy o kontakt z nami na e-mail sklep @ cyfrowe.pl

Z poważaniem,
Zespół Cyfrowe.pl

Co wyciekło?

Sklep nie podaje ilu klientów jest dotkniętych incydentem, więc należy założyć najbardziej pesymistyczny scenariusz, że problem dotyczy każdego klienta. To że nie dostaliście jeszcze e-maila, nie znaczy że problem Was nie dotyczy — sklep jest popularny i korzysta z narzędzia do masowej rozsyłki wiadomości, a to narzędzie rozkłada wysyłkę w czasie. Pierwsze sygnały o mailach mamy z wczoraj z 21:00. Na nasz adres e-mail podany w zamówieniu (bez zakładania konta) do tej pory nic nie dotarło.

Wycikeły:

  • Adres e-mail
  • Hasło (sklep nie informuje, że było przechowywane w bazie jako hash, załóżcie więc, że przestępca otrzymał dostęp do hasła w postaci jawnej)

Sklep pisze, że “istnieje ryzyko, że wyciekły”, więc zgodnie z pesymistycznym scenariuszem załóżcie, że wyciekły na pewno:

  • Imię i nazwisko
  • Adres dostawy
  • Numer telefonu

Co grozi klientom? Kupowałem w Cyfrowe — co robić, jak żyć?

Załóż, że Twoje dane wyciekły w pełnym zakresie. Że ktoś może wiedzieć jak się nazywasz, gdzie mieszkasz (adres dostawy) i jakie hasło oraz sprzęt fotograficzny posiadasz.

Co grozi klientom? W przypadku wycieku z serwisu Morele, były to zarówno niechciane telefony jak i ataki phishingowe, kończące się kradzieżą środków z konta bankowego (“musisz dopłącić do zamówienia, które u nas złożyłeś, bo…“).

Dlatego obowiązkowo:

  • Zmień hasła do serwisów, do których miałeś takie samo albo podobne hasło jak do Cyfrowe.pl. To uproszczona rada. Aby zabezpieczyć swoje konta (GMail, Facebook i inne) przed nieautoryzowanym dostępem trzeba wykonać kilka kroków. Nie są zbyt skomplikowane, ale warto je zrobić w poprawnej kolejności.

    Temat zabezpieczania kont przed włamywaczami omówiliśmy podczas naszego godzinnego charytatywnego webinara, którego możesz obejrzeć za darmo, o ile dopiszesz się do listy uczestników tutaj. Webinar zawiera duża praktycznej i przydatnej wiedzy i jest darmowy, ale rejestrując się na niego możesz przekazać dowolny datek na sprzęt ochronny dla lekarzy, pielęgniarek i ratowników medycznych walczących z koronawirusem. Czytelnicy Niebezpiecznika zebrali już ponad 100 000 PLN!

Ale jest jeszcze jeden powód, dla którego niektórzy z klientów mogą mniej spokojniej spać…

Założę kominiarkę i pokażę im serduszko, może mnie wpuszczą...

bazo, bazo, powiedz przecie, kogo by tu okraść…

Profesjonalny sprzęt fotograficzny jest drogi, pożądany i łatwo go sprzedać “z drugiej ręki”. Jeśli złodzieje mają dostęp do historii zamówień, a adresem odbioru jest mieszkanie prywatne, można założyć że ktoś w tym mieszkaniu ma warty kilkadziesiąt tysięcy sprzęt. Teraz wszyscy siedzą w domach, więc pewnie złodzieja zauważą — pytanie czy wykradziona z cyfrowe.pl baza danych klientów nie będzie w przyszłości mapą dla włamywaczy.

Kolejny wyciek…

Wycieki się zdarzają i będą się zdarzać. O tym poinformował lub poinformuje Cię sklep. Ale nie zawsze firmy wiedzą, że zostały okradzione z danych klientów, dlatego warto samodzielnie sprawdzać, czy nasze dane nie wyciekły. Jak to robić? I co monitorować, kiedy nasze dane wyciekły, aby nie stać się ofiarą kradzieży tożsamości i nie stracić pieniędzy?

O tym opowiadaliśmy w naszym webinarze poświęconym wyciekom danych. Webinar już się odbył, ale możesz zobaczyć jego nagranie.

Przeczytaj także:



51 komentarzy

Dodaj komentarz
  1. Czyli ktoś ma. Mój adres i nr tel, np oraz wie jak ktoś ma na imię…… Adres mógl być paczkomatu. Dane zmyślone a telefon fake. Nie rozumiem nad czym tu płakać. I nawet gdyby ktoś miał Real, moje dane to i tak nic mu po nich

    • Kupujesz sprzet foto za 10k , 15k, 20k czy nawet wiecej i podajesz fejkowe dane i fejkowy numer telefonu? Gotowka tez nie placisz wiec sadzisz ze takie zamowienie zostanie zrealizowane?

    • Należy nad tym płakać, że wiele ludzi podaje prawdziwe dane, gdy w wielu przypadkach są one zbędne. Choćby po co imię i nazwisko prawdziwe gdy zamawia się na paczkomat lub kurierem z umówioną godziną odebrania, podając telefon?

    • Czy w przypadku podania fałszywych danych nie będziemy mieli problemów podczas składania ewentualnej reklamacji / zakładania sporu?

    • 3d secure, matoly…

  2. Ostatni kontakt i zakup w cyfrowe.pl mial miejsce w 2012r. czy od tamtej pory nie powinni byli mnie powiadomic ze nadal przetwarzaja moje dane osobowe ?
    Prawde mowiac kompletnie zapomnialem ze mam tam konto.

    • Ja chyba ostatnią z nimi transakcję miałem jeszcze wcześniej. Trzeba temat pociągnąć.

    • Ja złożyłem 1 zamówienie w 2010 r.

      Żadnego e-maila o przetwarzaniu danych (RODO) nie widzę od tamtego czasu, więc szczerze, nie wiedziałem, że miałem tam konto! :-(

    • Jedyne zamówienie złożyłam w 2011, przez wszystkie te lata dostawałam newsletter, który trafiał bezpośrednio do spamu. Nawet nie wiem, jakie miałam hasło, bo sami mi je zmienili, więc nie wiem, czy używam tego samego w innych miejscach

  3. Pierwszy wyciek, który wiem, że mnie dotyczy, w sensie też dostałem tego maila. A o ilu wyciekach jeszcze nie wiem….. :-)

  4. A strona leży. Wszyscy się rzucili hasła zmieniać?

  5. Szanowny Niebezpieczniku,
    Szanowni czytelnicy i klienci,

    Spieszymy z dodatkową informacją. Informację o wycieku pozyskaliśmy 9 kwietnia. Mamy potwierdzony wyciek danych dostępowych do sklepu w postaci loginu czyli adresu e-mail oraz przypisanego do niego hasła. Hasła były zaszyfrowane (hash). Jednak mamy informację, że część z nich została odszyfrowana zapewne metodą słownikową. Dlaczego tak uważamy? Bo to nie wszystkie konta/hasła oraz wszystkie odkodowane mają PROSTE hasła typu ‘adam1’ czy ‘qwerty’.

    Analiza logów potwierdziła tylko wyciek tej tabeli z bazy danych jednak nie mamy pewności czy nie udało się dostać także do innych elementów struktury bazy danych.

  6. Sprawa jest badana przez zespół IT, ekspertów z dziedziny cyber security i administratorów systemów serwerowych. Jednak w takich sytuacjach nie ma co czekać na “wyjaśnienie”, należy działać, stąd komunikat pojawił się kilka godzin po wykryciu i pierwszych działaniach.

  7. Kupowałem od nich tylko raz, kilka lat temu przez allegro – to jest skandal, że sklep pobiera sobie i przechowuje nasze dane mimo iż nie zakładaliśmy w nim nigdy konta ani nawet nie odwiedzaliśmy ich strony!

  8. Redakcjo,

    zadajcie pytania Cyfowe.pl:

    – ile danych wykradziono – np. milion rekordów?
    – kiedy nastąpił nieautoryzowany dostęp do danych?
    – dlaczego Klienci nie dostali informacji o wprowadzeniu rozporządzenia RODO emailem?*

    * Ja miałam konto od 2010r., o którym nie pamiętałam i dzisiaj dostałam od nich emaila z informacją o nieautoryzowanym dostępie do danych :-[

    Z góry dziękuję!

  9. Też dostałem majla. Zakup w 2014 roku.
    Dane adresowe nieaktualne, czyli tylko majl i telefon.

    Pytanie co to znaczy (jak bardzo) szyfrowane “hash”

  10. No cóż jestem jednym z tych nieszczęśliwców. Dzisiaj przy zmianie hasła dostałem taki ciekawy komunikat: https://drive.google.com/open?id=1WRHN-MNE5p5ouj_l3Ew8VowtRTTxC28N. Oczywiście wszedłem na http://www.cyfrowe.pl. Kłódka w adresie się wyświetlała, więc chyba dobrze.

    ps. Zgodnie z zaleceniami Niebezpiecznika hasło wygenerowałem i trzymałem w KeePass. Czy mogę spać spokojnie ;-).

    • Przekierowanie przez ich usługę wysyłki wiadomości, nie ma się czym martwic.

  11. Wykradzione dane już krążą po sieci. Hasła w plaintekście są dostępne dla kilkudziesięciu tysięcy kont, w tym także kont założonych na adresy emailowe w domenach .gov.pl czy .edu.pl

  12. Wywołani do tablicy postaramy się udzielić więcej informacji.

    1. ile danych
    Generalnie nie udzielamy takiej informacji poza zgłoszeniem do odpowiednich służb. Mamy potwierdzenie dot. części bazy danych dostępowych do aplikacji sklepu, ale racjonalnie nie da się stwierdzić z 100% pewnością, że nie dotyczy to całej tej bazy. I nie, nie jest to liczba 7 cyfrowa.

    2. Kiedy nastąpił dostęp nieautoryzowany.
    Po analizie logów mamy zwężone stosunkowo nieduże okienko czasowe. Sprawdzamy czy to były jedyne dostępy. Jesteśmy atakowani regularnie od lat, jednak dopiero teraz “dali radę”. Informacje o wycieku pozyskaliśmy 9 kwietnia br. i nie było to bardzo dawno.

    3. W momencie wchodzenia przepisów RODO informowaliśmy klientów zgodnie z koniecznością wymaganą przez przepisy. Być może gdzieś ta informacja umknęła, to było dosyć dawno temu.

    4. Użyliśmy systemu do wysyłki emaili emaillabs.pl dla zapewnienia lepszej dostarczalności tej informacji, niestety zrobiły się “psikusy”, które niektórych użytkowników zaniepokoiły (całkiem słusznie, +5 za czujność dla nich!). Bardzo przepraszamy, najważniejsze było bezpieczeństwo i szybka zmiana haseł.

    5. Hasła były zaszyfrowane. Ze względów bezpieczeństwa nie udostępniamy publicznie informacji jakim algorytmem/sposobem. Mam nadzieję, że użytkownik ‘Henry’, jako osoba znająca się, jak domniemamy, na zagadnieniach bezpieczeństwa, zrozumie powód zachowania tego w tajemnicy. Zapewniamy, że hasła były zaszyfrowane zgodnie z ogólnie przyjętymi standardami.

    Dziękuję redakcji Niebezpiecznik.pl za rzetelne przedstawienie sytuacji w swoim artykule i możliwość umieszczenia dodatkowych informacji w komentarzach, a czytelnikom bloga niebezpiecznika dziękuję za wyrozumiałość.

    • Panie Jarosławie.
      Brawo za szybką reakcję na wyciek, jeśli rzeczywiście nastąpił on początkiem kwietnia.
      Chciałbym jednak prosić Pana o stanowisko w sprawie braku spełnienia obowiązku informacyjnego dot. RODO, wobec mnie i podejrzewam wielu innych ludzi, którzy zamówili coś od Państwa raz, wiele lat temu i zapomnieli o swoim koncie.
      W moim przypadku, konto zostało utworzone w listopadzie 2014, złożyłem wtedy jedyne zamówienie w Państwa sklepie. Od tamtej pory otrzymałem kilka maili od Państwa, ostatni w grudniu 2014 roku. Do 9 kwietnia 2020 nikt z Państwa strony nie wysyłał do mnie żadnych wiadomości. Tak więc, przykro mi, ale wygląda na to, że obowiązek informacyjny nie został spełniony wobec mnie czego jestem pewien, ponieważ gdybym dostał od Państwa wiadomość, z pewnością usunąłbym konto oraz miałbym tego maila w swojej skrzynce pocztowej.
      Bardzo proszę o wyjaśnienia.
      Dziękuję. Wojciech

    • Szanowny Panie

      Wykradzioną bazę widziałem. Nie wiem czy to wszystko co wykradziono, ale kilkadziesiąt tysięcy rekordów ma odszyfrowane hasła. Mam ją Panu wysłać na maila czy opublikować?

      Nieujawnienie przez Pana tego jakim algorytmem były haszowane hasła w żaden sposób nie przeszkodzi włamywaczowi, a tylko wzmacnia słuszne podejrzenia oburzonych użytkowników co do poziomu progamistów, jakich Pańśtwo zatrudniliście. Proszę mieć odwagę powiedzieć, czego użyliście i czy hasła były solone. Wciąż mam nadzieję, że wie Pan czym jest zasada Kerckhoffa.

    • Szanowny Panie,

      tak jak Cris napisał, jeżeli kilkadziesiąt tysięcy haseł zostało złamanych w dobę to wypadało by napisać czego nie używać do szyfrowania bo wbrew udostępnionym informacjom zostało złamane. Tak aby inni mogli podobne rozwiązania zmienić na bezpieczniejsze.
      Zwłaszcza że teoretycznie proste szyfrowanie md5 haseł po wycieku z innego dużego sklepu z elektroniką było łamane dużo dłużej.

    • @Cris, jakieś wskazówki gdzie szukać? Darknet? Torrenty?

  13. Juz po samej nazwie: Cyfrowe.pl … widac ze to typowy Januszeks, i nie chce tutaj nikomu ublizac czy tworzyc jakiejs nagonki ale sama nazwa sugeruje ze mamy doczynienia z niedoswiadczonym biznesem.
    Na podobnej zasadzie jak przesadnie “zarabiste” (megatrony, gigazordy, assasyny etc.) niki w grach online sugeruja ze mamy doczynienia z dzieciakiem…

    • :D Sklep istnieje od wielu lat i jest jednym z większych graczy na rynku.

    • @Marek
      Oczywiscie … jesli szacuje sie to wzgledem odpowiednio malego rynku kazdy podmiot moze byc jednym z wiekszych graczy, cyfrowe.pl tez (^-^)

      A bajdziej na powaznie – jak juz pisalem wczesniej, nieszczegolna nazwa – zwlaszcza jesli zestawisz ja z domenami uzywanymi przy roznego rodzaju przekretach, powiedzmy ze malo kto wybralby ja z listy takowych w odpowiedzi na pytanie: ktora z domen tutaj nie pasuje…

      Co nie znaczy znaczy ze samej domeny nie warto zachowac – np. jako alias, przekierowywujacy do domeny o jakiejs sensownej nazwie…

    • Rany, kwarantanna uderzyła do głowy? Albo sfrustrowany konkurent? ekspert od nazwy się znalazł. Sklep jest długo, na tyle długo, że w tamtych czasach ‘cyfrowe’ było dobrze pozycjonowane pewnie pod SEO. Poza tym czym to się różni od wyborcza.pl plus.pl optyczne.pl ? wszystkie te nazwy do bani?
      Niedoświadczony biznes? wiesz, że połowa biznesów nie przeżywa roku funkcjonowania a kolejne 40% 10 lat? Ten na rynku chyba jest ze 20 lat, więc tak.. hmm… bardzo niedoświadczony.

      A co do wycieku, no pech. Nie znam szczegółów to nie wypowiem się, ale wycieki zaliczają i banki i operatorzy komórkowi i ogromne korporacje z miliardowymi budżetami na bezpieczeństwo… także ten… nie ma co bić piany, trzeba pilnować haseł, chodzić na szkolenia niebezpiecznika i tyle.

    • @Janek,
      > Rany, kwarantanna uderzyła do głowy?
      Bardzo rzeczowy argument…

      > Albo sfrustrowany konkurent?
      Gdybym byl takowym, to bym przecierz siedzial cicho – jaki biznes zwraca uwage konkurencji ze cos mogli by robic lepiej…

      > Sklep jest długo, na tyle długo, że w tamtych czasach ‘cyfrowe’ było dobrze
      > pozycjonowane pewnie pod SEO.
      Dzidy z kamiennym ostrzem tez byly kiedys popularne – co nie oznacza ze to dobry pomysl na biznes.

      > Poza tym czym to się różni od wyborcza.pl plus.pl optyczne.pl ?
      Po pierwsze znak rownosci pomiedzy podmiotami takimi jak wyborcza czy plus a cyfrowe.pl to objaw pewnej megalomani. A nawet pomijajac ta kwestie: plus to symbol matematyczny ktory raczej nie ma wlasnego portalu lub siec wlasnie, slowo wyborcza mozna zestawic z komisja, kielbasa, wodka i moze jeszcze z paroma innymi mniej popularnymi kategoriami jednakowoz gazeta bedzie najpopularniejszym skojarzeniem – gdzie dodatkowo gazeta i wyborcza to de facto jeden portal.
      Ilosc obiektow w zyciu przecietnej osoby ktore moga byc “cyfrowe” jest trudna o ile nie niemozliwa do przeliczenia…

      > wszystkie te nazwy do bani?
      optyczne.pl jest troche slabe, chociaz i tak lepsze od cyfrowe.pl

      ===============================================
      Natomiast takie glupie dyskusje i zaklinanie rzaczywistosci… do tego przez bardzo podobne ale rozne niki… sugeruje powiazania piszacych z omawiana firma (jaki klient broni tak zaciekle/fanatycznie sklepu).
      A takze jesli powyzsze znajduje odzwierciedlenie w rzeczywistosci, pewna patologie postaw pracownikow/wlascicieli, gdzie moznaby powiedziec ze januszeks uzyty przezemnie jako docinek okazal sie przypadkowo celnym trafieniem…

      Z waszych wypowiedzi przebija pycha. Bo o ile normalna rzecza jest bronienie biznesu (zwlaszcza uczciwego) to “ja wiem najlepiej” normalne nie jest. Bo moze i wiesz lepiej (jesli idzie o kwestje X) ale tego ze tak jest (kwestja Y) juz nie wiesz — gdzie proby zduszenia w zarodku dyskusji na temat Y (co nie ma sensu jesli ma sie racje) sugeruje tkwienie w bledzie na poziomie X….

    • Misiu, zmień płyn do dezynfekcji.
      Zwykle piszesz w miarę sensownie, a teraz bycie ekspertem od nazw firm, kompletnie Ci nie wychodzi.
      PS Wymień tak z 10 przekozackich nazw dla sklepu z aparatami CYFROWYMI, które mogą wynieść biznes na wyżyny antyjanuszostwa. Bo przecież nazwa świadczy o wszystkim.

      PS2 Zastanawiam się nad nazwami marek samochodów. Volkswagen – to je dobre. Renault – blee, aż mnie wstrząsa! Zaraz upadną, Janusze. Mercedes – o tak, tak! Nazywając firmę słowem “Mercedes”, każdy może spodziewać się sukcesu. [i mogę tak farmazonić w Twoim stylu jeszcze długo]

  14. Wkurzonybialymis90210 – osoba z cyklu „nie znam się ale się wypowiem”, sadzać po nicku szpecjalista od fszystkiego – i pewnie nawet nie wie ile Cyfrowe.pl działa na rynku :facepalm:

    • Chcialbym zwrocic uwage ze komentujacym pod artykulem dotyczacym tego ze firma potocznie mowiaz “dala ciala” i stracila baze z danymi *nalezacymi do jej klientow*.

      To nie sugeruje, ze pomimo “wielu lat na rynku” mamy doczynienia z dojrzalym, doswiadczonym biznesem – poniewaz doswiadczenie to nie jest inna nazwa na uplyw czasu tylko rezultat poprawnego dostosowywania sie do otoczenia (nauki na wydarzeniach majacych miejsce w jakims okresie czasu) ktorej tutaj raczej niewidac. I tak, oczywiscie kazdemu moze sie zdarzyc, ale jest tez prawda ze zdarza sie najczesciej nieprzygotowanym…

      Kolejna kwestia byl by okres obecnosci na rynku i pozycja marki, gdzie przy niewielkiej rozpoznawalnosci (wbrew pozorom, to ze ty i Marek o niej slyszeliscie i macie dobra opinie nie ma wartosci statystycznej, czy nawet informacyjnej) im dluzej tym gorzej – chociaz to jest raczej skomplikowana dyskusja jesli chodzi o niszowe branze.

      Pozatym, na jakiej podstawie oszacowales negatywnie moja kompetencje? (przynaleznosc do niekompetentnej grupy dokladnie to oznacza – jakkolwiek bys tego nie nazwal – po co te wybiegi). Bo z tego co widze oparles to calkowicie na swoim blednym zalozeniu ze uplyw czasu w magiczny sposob skutkuje osadzaniem sie doswiadczenia czy kompetencji.

      Natomiast traktowanie “niku przypadkowego goscia z internetu” piszacego komentarze w wolnym czasie jako biznesowej marki – troche niepowazne….

      Ps. I zeby nie bylo, firma dala ciala, moim zdaniem w conajmniej 3 miejscach (wyciek, antyczne konta, nazwa) juz na tym etapie, kiedy praktycznie jeszcze nic o sprawie niewiadomo – i uwazam, ze zartowanie (nawet ostre) z niej w takiej sytuacji jest jak najbardziej na miejscu.

    • Mialo byc: “Chcialbym zwrocic uwage ze komentujemy pod artykulem…”

      Ps. A przy okazji, sam widzisz, ze nick dobralem swietnie:
      wkurzony [ewidentnie jest]
      bialy – wiem, poprawnie politycznie bylo by “rasy kaukaskiej” [raczej oczywiste w pl, jest]
      mis – duzy i wlochaty, po co klamac [jest]

      :p

  15. *laughs in lastpass*
    podoba mi się podejście firmy do sytuacji, szanuję. jestem natomiast ciekaw tej akcji z RODO która wyszła w komentarzach :D

  16. Drogie “Cyfrowe”. Do mnie email nie dotarł z informacją o wykradzeniu bazy danych.

  17. Marku, co nie zmienia faktu, ze wlasciciel to faktycznie “Janusz” przynajmniej jesli chodzi o relacje miedzyludzkie…
    Moze to sie przelozylo na relacje np. z pracownikami (niewykluczone) i ktos wkurzony “pomogl” w wycieku danych?

  18. “Chcemy zapewnić Cię, że podejmujemy wszelkie niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości”. Uwielbiam takie pier***ie po fakcie xD Obym doczekał maila o treści “Chcemy zapewnić Cię, że podjęliśmy wcześniej wszelkie niezbędne działania, i haxi0ry mogły naszą bazę w pędzla cmoknąć”.

  19. Dzień dobry
    Czy wyciek dotyczy również osób, które dokonywały zakupów bez zakładania konta?

    • Panie Janku,
      nic nie wskazuje na to aby dotyczyło to danych o zamówieniach. Dane są w różnych miejscach, nie ma śladów wycieku innych danych.

  20. Dla tych Wszystkich, którzy są przeciwni pozostawianiu danych… A co w przypadku faktury i płatności ratalnej – kiedy można wszystko wziąć na firmę w ratach 0% – rewelacja. Tyle, że nie da się podać nieprawdziwych danych – SORRY! Pewnych rzeczy się nie przeskoczy. Aparacik do focenia u cioci na imieninach za dwa koła można sobie tak kupić a nie profesjonalny sprzęt, do zarobku. Do tego gwarancja – jeśli Kupujesz nowy sprzęt i Chcesz przedłużyć gwarancję o np. 3 lata bo np. u Tamrona tak można to w przypadku podania nie prawdziwych danych umarł w butach.

    Pozdrawiam.

  21. Kopia bazy kiedyś wisiała na dostępnym ftp ;)

  22. Szanowny Panie Wojciechu (Wojtej)

    Sprawę rozdzieliłbym na 2 kwestie. Jedna to czy konkretnie do Pana wysłaliśmy email dot. przetwarzania RODO, a druga kwestia czy przepisy wymagały takiej informacji wysłanej do Pana.

    Co do pierwszej kwestii to możemy to tylko sprawdzić jeśli otrzymamy Pana email. Zwracam się tylko z prośbą o danie trochę czasu na to sprawdzenie bo z jednej strony ludzie zaangażowanie są i będą w kompleksowe sprawdzanie bezpieczeństwa, a reszta firmy walczy, w dobie covid-19, o utrzymanie miejsc pracy.

    Co do drugiej sprawy to dane osobowe w postaci adresu email przetwarzane są w celu prowadzenia konta użytkownika w sklepie cyfrowe.pl. Dane te przetwarzane są na podstawie zgody udzielonej przez osobę tworzącą konto, w chwili jego tworzenia. Wejście RODO nie uchyliło skuteczności dotychczas udzielonych zgód na przetwarzanie danych osobowych (przed RODO mieliśmy ustawę o ochronie danych osobowych). W związku z powyższym dane te nadal są przetwarzane. RODO nie zmieniło także podstawowych uprawnień jakimi dysponuje osoba, której dane są przetwarzane, w szczególności prawa do cofnięcia zgody na przetwarzanie danych osobowych, o czym użytkownicy byli pouczeni przy tworzeniu konta. Pouczenie to nadal zachowuje swoją aktualność, w związku z powyższym jeśli przetwarzanie danych w postaci e-mail dotyczyło dostępu do sklepu, nie było konieczności ponownego o tym informowania po wejściu RODO.

    Dziękuję, że zwrócił Pan uwagę na Pana przypadek. Zapisaliśmy ją na listę modyfikacji procesów związanych z danymi osobowymi, w tym przypadku kont w sklepie. Jest pomysł aby tak jak anonimizujemy dane dot. zamówień po pewnym czasie, tak może będziemy informować użytkowników, którzy nie zrobili zakupu czy też nie logowali się na konto w sklepie przez X lat, np. “jeśli nie zgłosisz sprzeciwu, twoje konto zostanie usunięte za 30 dni”.

    • Szanowny Panie,
      Jeśli rzeczywiście jest Pan gotów podjąć poważną dyskusję, proszę o email, na który mogę skierować swoje wątpliwości. “Dzięki” Państwa wyciekowi, teraz otrzymuję połączenia marketingowe, od których mój numer zawsze był wolny.
      Podobnie jak już wspomniano w komentarzach, na adres, który do czasu Państwa wycieku był wolny od spamu, teraz otrzymuję pogróżki z hasłem do Państwa sklepu w temacie. Dziękuję! Zastanawiam się czy chcecie Państwo w jakikolwiek sposób zadośćuczynić pokrzywdzonym tysiącom Klientów czy po prostu “póki co zasłonimy się covidem a potem business as usual”…
      Wojciech

  23. Czy sprawa została zgłoszona do prokuratury?

  24. Ciekawostka, jeżeli ktoś skorzystał z logowanie przez FB to nie stracił hasha hasła ponieważ Cyfrowe go nie przechowuje. W takim razie taka forma logowania ma swoje zalety, tak?

    FAQ Cyfrowe.pl
    Czy jeśli loguję się przez FB to czy moje konto FB jest zagrożone?
    Nie. Nie posiadamy dostępu do haseł FB. Po naszej stronie przechowywany jest tylko identyfikator użytkownika.

  25. @Niebezpiecznik
    A ja mam pytanie do redaktorów Niebezpiecznika: Ile czasu sklep powinien trzymać dane klientów?
    Do końca gwarancji?
    A może tylko do chwili dostarczenia?

    Przecież sklepowi dane są potrzebne tylko do wysyłki. Nawet do gwarancji nie jest istotne kto reklamuje – ważne, że ma sprzęt o numerach seryjnych sprzedanych przez sklep oraz dowód zakupu.

    Czy dane nie powinny być automatycznie kasowane? Po jakiego grzyba trzymać je dożywotnio? Czy interes biznesowy (dożywotnie spamowanie wymuszonym newsletterem) może mieć tu jakąkolwiek wagę?

    PS Zamawiając paczkomatem, już od jakiegoś czasu wpisuję bzdurne dane. To dzięki Wam! Zastanawiam się czy przejdzie taki numer na Allegro. W zakupach bez rejestracji przechodzi – ale wtedy nie mam ich “SMART-a” na przesyłki. Muszę pokombinować. Chociaż w małych sklepikach, gdzie wszystko obrabiają ręcznie, to sprzedawca pewnie będzie miał wątpliwość czy wysłać towar człowiekowi o danych: Aaaa Bbbb. Chyba, że macie z tym jakieś doświadczenia.

  26. […] Zastanawia nas, czy któryś z polskich prokuratorów kupował coś w Cyfrowe.pl lub prąd dostarcza mu firma Fortum. Może wtedy i w tych sprawach równie szybko namierzeni […]

  27. Podejrzewam, że hasło było w postaci jawnej, gdyż parę dni temu dostałem maila z szantażem na adres, który był moim loginem do sklepu cyfrowe.pl, a tytułem maila było moje hasło. Szantażysta żądał 2000 USD w bitcoinach, grożąc, że stracę dane. Na szczęście w innych serwisach mam inne hasła.

  28. […] ostatnich (tygo)dniach mieliśmy całkiem sporo wycieków danych. Cyfrowe, KSSIP, dostawca energii, a nawet ZUS. W przypadku Zippo, atakującym udało […]

  29. Parę dni temu, dostałem maila na adres, który był moim loginem w cyfrowe.pl, a tytułem było moje hasło. Autor maila, żądał 2000 dolarów w bitcoinach za nie kasowanie moich danych. Na szczęście ten login hasło miałem tylko na cyfrowe.pl. Podejrzewam, że wyciek nastąpił z cyfrowe.pl. Zastanawia mnie, czy hasła w cyfrowe.pl były przechowywane w bezpieczny sposób. Pisałem maila do nich, zapewniali, że tak, i że hasło zostało złamane metodą słownikową, bo było zbyt proste (podali kilka przykładów: “1234”, “admin1234” itd). Niestety moje hasło nie było “zbyt proste”. Ciekaw jestem, czy włamywaczom udało się odszyfrować hasła, czy były one przechowane jako zwykły tekst…

  30. […] ostatnio chodzą po klientach internetowych sklepów (i nie tylko). Do grona firm, które straciły dane części klientów dołącza apteka […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: