15:58
9/9/2020

Wiele wskazuje na to, że dane co najmniej części (a może nawet wszystkich) klientów sexshop.com.pl, polskiego sklepu z gadżetami erotycznymi i afrodyzjakami, zostały wykradzione. Widzieliśmy ich fragment (ok. 500 rekordów z roku 2019), ale niestety nie wiemy jaka jest faktyczna skala problemu. Sklep do tej pory nam nie odpowiedział.

Jakie dane wyciekły?

Kilkanaście godzin temu pozyskaliśmy informację, że w internecie znajduje się fragmentem danych, które rzekomo miały wyciec ze sklepu Sexshop.com.pl. Plik, który dane nam było zobaczyć ważył zaledwie 58 kilobajtów i zawierał dane o ok. 200 zamówieniach, a więc na pewno nie jest to cała baza klientów.

Niemal każdy rekord zawierał następujące informacje:

  • imię i nazwisko,
  • e-mail,
  • data i identyfikator (?) zamówienia/produktu,
  • dokładne opisy o zamówionych produktów, np.

    Bezprzewodowe jajeczko wibrujące

    Lust Fingers – Żelowe nakładki na palce do stymulacji łechtaczki

    The Farm Girl. Realistyczna wagina

    Torque. Masturbator W Wersji Podróżnej

    Seven Creations – Perfect Pleasures – Realistyczny, smukły wibrator analny

Niemal wszystkie zamówienia pochodziły z maja 2019 r. Jedno zamówienie było z lipca. Identyfikator i opisy pasują idealnie do asortymentu na stronie sexshop.com.pl. Plik nie jest zindeksowany w wyszukiwarkach internetowych, więc poszkodowani klienci nie będą w stanie sprawdzić, googlając swój adres e-mail, czy są poszkodowanymi z tego wycieku.

Sklep milczy

Kontaktowaliśmy się z firmą prowadzącą ten sklep, zarówno telefonicznie jak i e-mailowo. Do czasu napisania tego tekstu, pomimo obietnicy kontaktu zwrotnego, nie otrzymaliśmy żadnej odpowiedzi w tej kwestii. Pytaliśmy m.in. czy sprzedawca był szantażowany wyciekiem, bo na obecnym etapie trudno powiedzieć jakie były intencje kogoś, kto ten plik opublikował w internecie (i to ponad tydzień temu).

Plik nie zawiera haseł, więc być może jest to wynik scrapingu faktur/paragonów/zamówień, a nie efekt nieautoryzowanego dostępu do serwera bazodanowego sklepu. Ze względu jednak na tematykę, ujawnienie tych danych — w przeciwieństwie do zakupów robionych w Media Markcie — dla niektórych klientów może być kłopotliwe.

Czy te dane są prawdziwe?

Potwierdziliśmy jednak, że dane klientów są zgodne, a kilka osób z wycieku da się łatwo odnaleźć na profilach w mediach społecznościowych. Dodatkowo, w kilkudziesięciu przypadkach udało nam się potwierdzić w innych źródłach, że e-maile z wycieku pasują do nazwisk podanych przy upublicznionych rekordach ze sklepu sexshop.com.pl (przy czym mowa tutaj o takich adresach e-mail, które nie zawierały nazwiska ani żadnej jego części, co minimalizuje false-positives).

O tym gdzie i jak weryfikować z pozoru niezwiązane ze sobą identyfikatory różnych osób, aby ustalić, że jednak są powiązane więcej opowiemy na naszym czwartkowym, darmowym webinarze z technik i narzędzi OSINT-owych, na który wciąż możecie się zapisać.
Webinar promuje nasz Internetowy Kurs OSINT-u (przypominamy, że tylko do piątku można go nabyć w 75% niższej cenie! zyskując wieczysty dostęp do materiałów!)

Oczywiście w wycieku były i takie przypadki, gdy e-mail był wyraźnie używany tylko do składania tego jednego zamówienia (te osoby mogą odetchnąć z ulgą). Przypadki e-maili używanych służbowo były raczej nieliczne, niemniej wielu ludzi używało takich adresów, które są szerzej stosowane w ich cyfrowym życiu jako podstawowe. I to może być dla nich problem…

W 100% dane potwierdzić może jednak tylko sklep, więc czekamy na oświadczenie sklepu i jak tylko je otrzymamy, opublikujemy je w aktualizacji.

Dane szczególne

Wycieki w biznesach erotycznych niestety się zdarzają. Miewają je strony pornograficzne, serwisy randkowe, serwisy kamerkowe no i wreszcie sprzedawcy erotycznych gadżetów. Ten wyciek nie jest może tak potężny jak wpadka Ashley Madison o której pisaliśmy parę lat temu i która doprowadziła do ucieczek ludzi zagranicę a nawet prób samobójczych. Niemniej ujawnione dane niewątpliwie są danymi osobowymi dotyczącymi seksualności, a zatem podpadają pod art. RODO i powinny być szczególnie chronione.

Polacy byli też szantażowani w związku z kradzieżą danych z serwisu Zbiornik, gdzie atakujący rozesłał do pozyskanych e-maili użytkowników prośbę o zapłatę okupu, grożąc że ujawni ich znajomym czym się zajmują w czasie prywatnym.

Co robić? Jak żyć?

Temu wyciekowi już nie da się zapobiec, natomiast warto przygotować się na kolejne. Robiąc zakupy w różnych miejscach (nie tylko w sex-shopach) rozważcie użycie adresu e-mail, telefonu nieużywanych w innych, ważnych dla Was miejscach (np. niepodpiętego do kont na Facebooku czy LinekdIn, niepublikowanego na blogach itd.). Rozważcie też zakup produktu na nieprawdziwe dane i odebranie paczki przez paczkomat, co nie wiąże się z żadną weryfikacją nazwiska.

Oczywiście nie musicie się stosować do tych rad, jeśli w Waszym przypadku ujawnienie listy zakupów w seks-shopie nie będzie przez Was postrzegane jako problem. Ale w Polsce niestety sporo osób wciąż za bardzo interesuje się życiem seksualnym innych, z czego mogą wyniknąć kłopoty dla osób znajdujących się w wycieku. Liczymy więc na to, że sprzedawca szybko wyjaśni sprawę i ostrzeże ewentualnych poszkodowanych, bo komunikat od niego będzie skuteczniejszy niż artykuł na naszych łamach…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. > Rozważcie też zakup produktu na nieprawdziwe
    > dane i odebranie paczki przez paczkomat,
    > co nie wiąże się z żadną weryfikacją nazwiska

    I dlatego w wypadku przesyłek na paczkomat imię i nazwisko w ogóle nie powinny być wymagane.
    Istotny jest kod odbioru. Po co zbierać nadmiarowe dane?

    • Imię i nazwisko przydaje się gdy przekroczysz czas w paczkomacie i odbierasz w magazynie.

    • To świetna porada, by zamawiać do paczkomatu na nieprawdziwe dane. Ale co z płatnością? W końcu płatność obsługiwana jest przez sklep, a dane o płatnościach też mogą wyciec.

  2. Już rok temu zgłaszałem im SQL Injection, którym można było wyciągnąć całą bazę ;) Oczywiście kontaktu z ich strony brak.
    Widocznie ktoś inny również znalazł ten sam błąd, ale był mniej chętny do jego zgłoszenia ;)

    • w 2015 w wąskim gronie krążył pełny dump z połamanymi hasłami

  3. Klienci i klientki zostali skutecznie spenetrowani przez hakera. Zastosowane zabezpieczenie okazało się niewystarczające. Nastepnym razem lepiej skorzystać z postednictwa zaprzyjaźnionego słupa lub latarnicy. Wiele darmowych skrzynek pocztowych umożliwia tworzenie darmowych aliasów pocztowych.

    • Gdzie znaleść słupa , latarnice uczciwego co by paczkę odebrał,pokwitował i przy tym danych nadmiarowych nie zbierał? Chodzi mi o legalny zakup czegoś z internetu.

  4. przy paczkomacie jest numer telefonu….a że obecnie wszystkie numery są rejestrowane ….

    • > przy paczkomacie jest numer telefonu….a że obecnie wszystkie numery są rejestrowane ….

      A nie jest tak, że kod odbioru przychodzi też na email?

      Wtedy wystarczy numer kupionej niezarejestrowanej karty SIM.

      Mimo wszystko obowiązek rejestracji kart SIM to zło.

      Pamiętajcie, że przestępcom życia on nie utrudnia.
      Jednocześnie istotnie ułatwia władzy inwigilowanie uczciwych ludzi, którzy kart na słupa _nie_ rejestrują.

    • Numer telefonu może być losowy, dane do odbioru paczki dostajesz również na maila…

    • Swoja droga – swietnym argumentem na idi*zm samego rozwiazania sa notoryczne kradzieze na duplikat karty sim. Ktore czynia fakt wymuszania rejestracji absolutnym debi*, poniewaz jesli przejecie i poslugiwanie sie numerem innej osoby jest najlatwiejsza czescia bankowych przekretow to z jakiej racji ktokolwiek mysli ze terrorysci z tej opcji nie skozystaja?

    • > jesli przejecie i poslugiwanie sie numerem innej osoby jest najlatwiejsza czescia bankowych przekretow to z jakiej racji ktokolwiek mysli ze terrorysci z tej opcji nie skozystaja?

      “Terroryści” to tylko pretekst. Celem jest pełna i natychmiastowa wiedza służb o wszystkich miejscach pobytu każdego, kto nosi ze sobą telefon. Chodzi o inwigilację wszystkich, bo większość nie kombinuje z kartami na słupa itp. “Terrorystów” to się nie tyczy, bo oni mają czas i chęć obchodzić te restrykcje.

      Po zamachach we Francji i Niemczech w 2015 i 2016 r. rząd PiS, wykorzystując i podsycając panikę, wprowadził ustawę “o działaniach antyterrorystycznych” przewidującą właśnie rejestrację kart SIM.

      Ale ustawa zawiera inne, drakońskie przepisy, przewidujące m.in. dostęp funkcjonariuszy ABW do wszystkich baz danych prowadzonych przez państwo, w tym do baz danych ZUS i NFZ, a więc zawierających szczegółowe informacje o schorzeniach i przyjmowanych lekach przez każdego, kto korzystał z państwowej służby zdrowia.

      Dostęp do tych baz funkcjonariusze ABWehry mają ONLINE, bez żadnej kontroli sądu ani żadnego innego niezależnego organu. Nie ma ani kontroli uprzedniej, ani następczej.

      No, ale jest 500+, więc ciesz się prosty ludu że cię twój Pan obficie karmi w twoim chlewiku…

    • @Sax

      Przy czym “korzystanie z państwowej służby zdrowia” to de facto wszystkie e-recepty i e-zwolnienia, także wystawione przez lekarzy prywatnych, a w zasadzie wszystkie recepty wystawione “nie na słupa”, bo z apteki też prędzej czy później trafią do centralnych systemów.

      Natomiast @WkurzonyBialyMis90210 imo po prostu punktuje sprzeczność logiczną w “simkartowym” aspekcie ustawy, wykazując, że gdyby rzeczywiście chodziło o ochronę przed “terrorystami”, ta nie działałaby.

  5. A czego tu sie bac / wstydzic? Uprawiamy seks i to naturalne. Co zlego w kupowaniu takich akcesoriow? Nie widze tu problemu. Odrzuccie wstyd a bedziecie wolni…

    • @Mirek

      W pewnych okolicznościach i otoczeniach normalne rzeczy mogą stać się śmiertelnie niebezpieczne. To nie zależy od wstydu czy jego braku u ofiary, a od obsesji (czy to inkwizytorskiej czy seksualnej) napastnika. Polecam lekturę kronik kryminalnych.

    • > A czego tu sie bac / wstydzic? (…)
      > Odrzuccie wstyd a bedziecie wolni…

      Biorę prysznic, to też nic złego. Ale okno w łazience zasłaniam.

  6. Czy są jakieś pule numerów telefonów o których wiadomo ze nigdy nie zostaną przyznane? Np. do użytku w filmach?
    Głupio by było gdyby ktoś dostał smsa z moim kodem dostępu do paczkomatu.

    • Są, same zera ;)

    • Kup starter (nie rejestruj go), i użyj tego numeru :)

    • Jest. Nazywa się numer stacjonarny. Kierunkowy swojego miasta raczej znasz. Nikt ci nie przejmie kodu ;)

  7. I właśnie dlatego wszelkie tego typu zakupy robię offline – teraz anonimowość offline jest jeszcze łatwiejsza: Maseczka (bo wirus) i ciemne okulary zakrywające górną część twarzy (bo nadwrażliwość na światło gdyż miałeś za dużo do wypicia noc wcześniej. Wiarygodne wytłumaczenie i nikt nie wie że ty to ty.

    • Ja bym jeszcze założył kominiarkę i foliową czapkę, nigdy nie wiesz kogo spotkasz.

    • Tam od razu maseczkę i okulary… lepiej maskę lateksową na całą głowę i czerwoną kulkę na pasku kneblującą usta, nikt Cię nie pozna ;D

  8. A co to Pana Panie Konieczny zmusiło do fatygowania się do urzędu w piątek kilka minut temu? Swoją drogą najsss zielona bandana, lepsza od klasycznej maseczki ;) I miał Pan farta ze znalezieniem ostatniego miejsca parkingowego. A na tym parkingu nie jest łatwo. Pozdrowienia ;)

    • Obawiam się, że to nie byłem ja. Pozdrawiam z kanapy.

  9. A to przepraszam. Wobec tego ma Pan prawie idealnego sobowtóra :) Pozdrawiam ;)

  10. Niezarejestrowanej karty sim nie da się użyć ergo trudno oczekiwać że przyjdzie na nią sms z kodem odbioru paczki. Jedynie rejestracja na słupa i użycie oddzielnego telefonu tylko do takich celów ergo ze “spalonym” już imei.

  11. Nie na temat, ale uważam, że powinniście poruszyć temat przejmowania fapage’ów na facebooku. Coraz więcej słyszy się informacji o tym, że konta są przejmowane, nawet mimo uwierzytelniania dwuskładnikowego na koncie. Ja sama się obawiam przejęcia kont, nad którymi sprawuję opiekę. Proszę o opisanie problemu oraz danie wskazówek, jak można przed tym się zabezpieczyć.

    • @Magdalena

      Nie jestem specem od fb, ale zanim odezwie się ktoś bardziej doświadczony – parę uniwersalnych rzeczy:
      1) uwierzytelnianie dwuskładnikowe koniecznie
      2) unikać używania do drugiego składnika uwierzytelniania tego samego urządzenia, którego używa się do obsługi konta (przykładowo takiego, że fb jest na telefonie, a drugim składnikiem uwierzytelniania jest sms kod na ten sam telefon)
      3) unikać używania fb na urządzeniach nad którymi możesz stracić kontrolę (wspólny komp, niezabezpieczony kodem smartfon itp)
      4) wypełnić te “5 osób które Cię znają i mogą pomóc w odzyskaniu konta” czy jak tam się to nazywało
      5) najlepiej wyłączyć “aplikacje fb” – jeśli niemożliwe (bo np czegoś używasz do automatycznego postowania), to poczytać o ich zabezpieczeniach i podatnościach, politykę prywatności itd – dużo przejęć idzie poprzez apki
      6) jeśli się używa jakiegoś zewnętrznego narzędzia do obsługi kilku kont naraz, należy bardzo dokładnie zapoznać się z jego polityką prywatności, opcjami konfiguracji, kto jest właścicielem, jakie są znane podatności

  12. […] Ponieważ w polisach były numery telefonów, postanowiliśmy zadzwonić do jednego z nabywców polisy i spytać, czy dane się zgadzają i czy osoba ta faktycznie była klientem Ent Brokera. Do takiej weryfikacji uciekamy się bardzo rzadko (ostatnio w przypadku wycieku z sexshop.com.pl, którego właściciele postanowili schować głowę w piasek). […]

Odpowiadasz na komentarz SuperTux

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: