8:34
11/9/2018

Osoby, które kupowały w sklepie NEO24.pl, otrzymały dziś w nocy e-maile informujące o wycieku danych osobowych. Problem ma dotyczyć starej bazy, która funkcjonowała do 25 października ubiegłego roku.

Treść komunikatu rozsyłanego do klientów jest następująca.

Szanowni Państwo,

informujemy, że istnieje prawdopodobieństwo ujawnienia danych osobowych Klientów z archiwalnej (funkcjonującej do dnia 25.10.2017 r.) bazy sklepu internetowego NEO24.PL. W związku z tym, w trosce o Państwa bezpieczeństwo rekomendujemy:

  • Niezwłoczną zmianę hasła do konta w sklepie internetowym NEO24.PL.
  • Zmianę haseł do innych serwisów internetowych, w których korzystają Państwo z hasła użytego do rejestracji w sklepie internetowym NEO24.PL.
  • Nieodpowiadanie na maile pochodzące z nieznanych i niezweryfikowanych źródeł.

Obecnie przy współpracy z wysokiej klasy specjalistami ds. bezpieczeństwa sieci komputerowych analizujemy wszelkie kwestie związane z zaistniałą sytuacją.
W razie jakichkolwiek pytań lub wątpliwości prosimy o kontakt drogą elektroniczną na adres: bezpieczenstwo@neo24.pl

Przypomnijmy, że w lipcu tego roku ktoś zhackował sklep NEO24.pl, a następnie rozsyłał SMS-y kierujące na stronę mistrzostwa.neo24.pl. Strona ta, będąca oficjalną domeną Neo24, została wykorzystana przez przestępców do wyłudzania danych umożliwiających zrobienie przelewu. Z powodu niejasnych komunikatów sklepu i kuriozalnego tłumaczenia się, trudno było ustalić co się stało, ale z pomocą Czytelników odtworzyliśmy przebieg tamtego ataku. Jakkolwiek dziwnie to brzmi, sklep nazwał siebie “ofiarą wyłudzenia” i ogłosił, że “doprowadził do wyłączenia domeny”. Nie całkiem dobrze oddawało to sytuację.

Już w lipcu podejrzewaliśmy, że przy okazji tamtego włamania mogło dojść do kradzieży danych osobowych. I najwyraźniej dokładnie tak się stało, a dane, które zostały wykradzione to — jak dziś informuje sklep — nie tylko numery telefonów komórkowych. Chyba, że komunikat dotyczy kolejnego incydentu — postaramy się tego dowiedzieć.


Aktualizacja 11.09.2018, 15:29
Jeden z naszych czytelników otrzymał inną wersję e-maila od NEONET-u. W niej wskazany został zakres danych, które zostały wykradzione i — tak jak przypuszczaliśmy — jest to WSZYSTKO co Neonet miał na Wasz temat. Dlaczego Neonet nie rozsyłał tego pełniejszego komunikatu każdemu, a zmienił go na ogólniejszy? To póki co pozostaje dla nas zagadką.

Szanowni Państwo,

informujemy, iż na skutek działań osób nieuprawnionych doszło do ujawnienia Państwa danych z archiwalnej (funkcjonującej do dnia 25.10.2017 r.) bazy sklepu internetowego NEO24.PL. Wśród tych danych znajdują się: imię i nazwisko, dane adresowe lub dostawy (kod pocztowy, miejscowość, ulica, nr lokalu), numer telefonu, adres mailowy, adres IP, data zamówienia, numer zamówienia, wartość zamówienia, sposób płatności oraz dostawy, informacje o zamówionych towarach, uwagi do zamówienia. W przypadku posiadania konta w sklepie internetowym są to również dane dotyczące logowania do tego konta – login i hasło.

Pragniemy podkreślić, że wśród ujawnionych danych, nie było żadnych danych dotyczących płatności (np. danych wykorzystywanych do logowania do bankowości elektronicznej, numerów kart kredytowych, danych podawanych we wniosku kredytowym w procesie zakupów ratalnych). NEO24.PL nie gromadzi tego typu danych.

Możliwą konsekwencją ujawnienia danych jest utrata kontroli nad własnymi danymi osobowymi. Może to oznaczać na przykład dostarczanie na Państwa adres e-mail niezamawianych informacji handlowych (spam).

Ochrona danych naszych Klientów jest dla nas sprawą najwyższej wagi. W związku z tym podjęliśmy niezwłocznie następujące działania:
Zawiadomiliśmy o możliwości popełnienia przestępstwa właściwe organy ścigania oraz zgłosiliśmy incydent Prezesowi Urzędu Ochrony Danych Osobowych i Zespołowi CERT Polska NASK.
Rozpoczęliśmy wdrażanie dodatkowego działania ochronnego, polegającego na konieczności zresetowania Państwa dotychczasowego hasła w sklepie internetowym NEO24.PL.
Wprowadziliśmy wzmożony monitoring naszej infrastruktury informatycznej.
Obecnie przy współpracy z wysokiej klasy specjalistami ds. bezpieczeństwa sieci komputerowych analizujemy wszelkie kwestie związane z zaistniałym zdarzeniem.

Ponadto rekomendujemy Państwu:
Niezwłoczną zmianę hasła do konta w sklepie internetowym NEO24.PL.
Zmianę haseł do innych serwisów internetowych, w których korzystają Państwo z hasła użytego do rejestracji w sklepie internetowym NEO24.PL.
Nieodpowiadanie na maile pochodzące z nieznanych i niezweryfikowanych źródeł.
Powiadomienie organów ścigania w przypadku uzyskania informacji o bezprawnym posłużeniu się danymi osobowymi przez podmiot nieuprawniony.
Jest nam niezwykle przykro z powodu zaistniałej sytuacji. Dokładamy wszelkich starań, aby ograniczyć jej skutki. W razie jakichkolwiek pytań lub wątpliwości prosimy o kontakt drogą elektroniczną na adres: bezpieczenstwo@neo24.pl

Aktualizacja 13.09.2018, 15:06

Sklep NEO24.pl nie odpowiedział na nasze pytanie dotyczące związku pomiędzy atakiem z lipca a wyciekiem danych. Dostaliśmy jedynie dwuzdaniowe oświadczenie.

Szanowny Panie Redaktorze,

aktualnie jest to przedmiotem analizy naszych ekspertów ds. bezpieczeństwa, którzy ściśle współpracują z organami ścigania w celu ustalenia okoliczności, w jakich doszło do ujawnienia danych. Ma to na celu jak najszybsze ustalenie sprawcy lub sprawców i zapobiegnięcie podobnym sytuacjom w przyszłości.

Przeczytaj także:

54 komentarzy

Dodaj komentarz
  1. W świecie z RODO, ile ich taki wyciek kosztuje?

    • Możliwe, ze nic, bo atak musiałby nastąpić po wejściu RODO w życie, a tu nie wiadomo kiedy im bazę buchnęli

    • A czego ma od razu kosztować? Kary finansowe są nakładane za udokumentowane zaniechania, a nie za to, że ktoś faktycznie przełamał zabezpieczenia uznane za odpowiednie, stosując techniki, przed którymi ofiara nie była w stanie się odpowiednio wcześnie obronić.

  2. Zara, moment. Przedtem twierdzili chyba, że włamu nie było.
    Jakim cudem w wyniku niezaistniałego włamania wykradziono dane z bazy, której być już nie powinno?
    To jakiś wyższy poziom abstrakcji, nie ogarniam.

    • Zgaduję że chodzi o to żeby zdarzenie miało miejsce przed RODO

  3. Brakuje mi informacji jak poszkodowani (ich dane zostały potencjalnie wykradzione) powinni postępować wobec neo24.

    • Przecież sklep podał prawidłowe procedury.
      Co innego, że piszą, iż wyciec mogły login i hasło – czyżby nie haszowali?

    • @Lukasz032 Wyciek funkcji skrótu może (nie musi) być równoznaczny z wyciekiem hasła. Zwłaszcza jeśli jest ono w rankingu top 10 najpopularniejszych. ;)

    • @Lukasz032, haszowali, ale odwraaclnie, hmm… czyzby atak bylych pracowników

  4. Pewnie backup byl na serwerze z nazwa pliku backup_bazy_klientow_stara_baza_2017.gzip

    • I pewnie do tego żadne pliki nie były zaszyfrowane bo nikomu się tego nie chciało robić.

  5. Chyba im się coś bardziej posypało…
    Rano dostałem maila i wszedłem na konto, aby je profilaktycznie usunąć, ale nie ma tam takiej opocji.
    Godzinę później chciałem wejść, żeby zmienić hasło, ale juz sie nie dało zalogować prawidłowymi danymi.
    Reset hasła działa.
    Czemu nie informowali o problemie wtedy kiedy zaistniał a dopiero dziś?

    • Ja również doznałem zdziwienia gdy dzisiaj wszedłem na konto aby zmienić hasło. W formularzu do wpisania było stare hasło i nowe. Otrzymałem komunikat, że stare hasło jest nieprawidłowe, podczas gdy przed chwilą za jego pomocą się zalogowałem. To zrobiłem reset hasła i poszło.

    • Miałem podobnie. Udało mi się zalogować, ale zmiana hasła się nie powiodła. Dopiero reset hasła pomógł.

  6. Mail od Neo24: “w trosce o Państwa bezpieczeństwo rekomendujemy: Niezwłoczną zmianę hasła do konta w sklepie internetowym NEO24.PL.”

    Strona Neo24 https://www.neo24.pl/blog/informacja-dot-bezpieczenstwa-danych-klientow-sklepu-internetowego-neo24.html
    “- Rozpoczęliśmy wdrażanie dodatkowego działania ochronnego, polegającego na konieczności zresetowania hasła do konta w sklepie internetowym NEO24.PL.”

    Treść maila i strony jest niespójna. Ponadto strona jest błędna. Neo24 nie wprowadziło konieczności zresetowania hasła. Można się zalogować na swoje konto w Neo24 i nie ma wymogu zmiany hasła, nawet nie ma żadnego komunikatu czy rekomendacji.

    • Kłamią na blogu, że wczoraj rozpoczęli procedurę konieczności zresetowania hasła (post na blogu datują na 10 września).
      Rano dało się normalnie wejśc starymi danymi, a później po prostu nie dało sie zalogować.
      Czyli w ogóle nie wymuszali zmiany hasła – samemu trzeba się było domyślić dlaczego nie da się zalogować. Pełno ludzi próbuje się teraz pewno logować, ale nie wiedzą o co kaman, jesli nie czytają NIebezpiecznika ;)

  7. Nie działa resetowanie hasła, a chciałem to zrobić już około 5 nad ranem.

    • Rzeczywiście wydaje się nie działać – nie mogłem zmienić hasła z poziomu systemu, ale zmieniłem przez link “zapomniałem hasła”

  8. Dzisiaj rano dostałem maila o włamie.
    Odpisałem, że bez wymuszenia resetu hasła ten email mogą sobie włożyć głęboko.
    Zaraz piszę skargę do RODO jak dostaną 4% to może nauczą się szanować dane osobowe.

    • Piszesz maila do rozporządzenia o ochronie danych osobowych? To ciekawe :D

  9. Ile dostanę odszkodowania jeśli moje dane też wyciekły?

    • Nic i to jest wadą tego całego RODO. Pieniądze płacone jako kara powinny zasilić budżet funduszu, który spłacałby zaciągnięte na poszkodowanych kredyty i pożyczki.

    • Nie mieszajmy kar administracyjnych z odpowiedzialnością cywilną.
      Każdy kto poniesie stratę może dochodzić roszczeń na drodze cywilnej. A ustawa o ochronie danych spina to nieco z postępowaniem prowadzonym przez organ nadzorczy na podstawie RODO. A nie oczekujmy, że organ będzie decydował o odszkodowaniu albo tym bardziej zadośćuczynieniu. Na szczęście tak to nie wygląda.

  10. Jak długo neo24 i inne sklepy muszą przechowywać dane tych klientów, którzy kupują bez zakładania konta? Nie mam u nich konta. Z tego co znalazłem zakupy od nich robiłem ostatnio w 2012 roku i też dziś dostałem e-mail o wycieku danych.

    • O tym już decyduje skarbówka – kiedyś było to 5 lat, teraz być może więcej.

    • @Lukasz032

      > O tym już decyduje skarbówka – kiedyś było to 5 lat, teraz być może więcej.

      Skarbówka decyduje o tym by w DMZcie trzymać dane księgowe?

  11. Ja zrobiłem jeden zakup w marcu 2012 r. i od tej pory nigdy więcej do tego sklepu nie zaglądałem. Jako e-mail miałem podane konto na prywatnym serwerze pocztowym, tyle tylko, że domena na której był serwer poczty od bodajże dwóch kilku lat już nie istnieje. Ciekawe czy wysłali mi powiadomienie na nieistniejące już konto pocztowe? Z tego konta powinni po chwili dostać zwrot o błędzie, czy w takim wypadku ponieważ powiadomienie było nieskuteczne powinni mi wysłać informację o naruszeniu danych osobowych tradycyjną listową pocztą?
    Po przeczytaniu artykułu na niebezpieczni ku wszedłem na stronę neo24, zalogowałem się bez problemu starymi danymi (jako login nie istniejące już konto pocztowe i hasło), wykasowałem swoje dane osobowe i bez problemu zmieniłem przypisane do konta w neo24 dane kontaktowe podając nowy adres e-mail (istniejący) i nowe hasło.
    I teraz najlepsze – na nie istniejące już od paru lat dotychczasowe konto pocztowe nie wysłali żadnego, podkreślam żadnego linku do weryfikacji zatwierdzonych zmian bo system neo24 przyjął mi bez problemu nowy adres e-mail i nowe hasło.
    Jeśli więc jakiś haker posiada tylko login i hasło do logowania w sklepie neo24 może bez problemu zmienić nasze dane podane w tym sklepie bez jakiejkolwiek weryfikacji ze strony neo24 a tym bardziej powiadomienia o dokonanych zmianach.

    • Na stary adres to bardziej spodziewałbym się linku do WYCOFANIA ewentualnych zmian, a nie ich potwierdzania ;)

  12. Nie bardzo rozumiem dlaczego nie wymuszono zmiany haseł, a jedynie zasugerowano ich samodzielną zmianę.

    • Dziś rano zmieniłem hasło, teraz jak próbowałem się zalogować – miałem je zresetowane

  13. Jak zwał tak zwał i tak wiadomo o co chodzi …
    Bardziej niepokojące jest to, że ktoś może zmienić nasze dane a my się nigdy o tym nie dowiemy bo ich stentem takiej informacji nie przewiduje.

  14. Właśnie zalogowałem się na swoje konto. Żadnego powiadomienia o konieczności zmiany hasła nie widzę. Podałem stare hasło :(

  15. Czy te hasła były trzymane w formie jawnej?

  16. Nigdy nie zakładałem u nich konta. Nigdy nie zgadzałem się na przetwarzanie moich danych w sposób inny niż w celu realizacji bieżącego zamówienia. I ostatni zakup zrealizowałem u nich prawie 6 lat temu. Jakim prawem Ci ludzie przez tyle lat przetwarzali moje dane osobowe? UODO na pewno, ale czy przypadkiem to nie jest sprawa dla prokuratury?

    • Prawem podatkowym. Dane MUSZĄ przechowywać przez określony okres – kiedyś 5 lat, teraz bodajże 7 – na wypadek, jakby odwiedziła ich skarbówka i kazała pokazać dowody sprzedaży. A przechowywanie danych z mocy ustawy jest (najczęściej) wyłączone spod rodówek przepisami wprowadzającymi.

  17. Ja również bez problemu wszedłem na stare hasło. Zakupy robiłem lata temu.

  18. Przed chwilą zalogowałem się na stare hasło, ale nowego ustawić już nie mogłem, bo zwracany był komunikat, że stare hasło jest błędne – jakim cudem, skoro się na nie zalogowałem? Reset hasła też nie działa, żaden mail z linkiem nie przychodzi. Rekomendują zmianę hasła do ich sklepu, a w praktyce nie da się tego zrobić. Pozorują działania, żeby uchronić swoje cztery litery przed wysokim wymiarem kary.

  19. Ja u nich nie posiadam konta a również dostałem takiego mejla. Gdy do nich napisałem na wskazany w mejlu adres nikt oczywiście nie odpisał. Czyżby Neo24 kupował od handlarzy danymi e-maile a teraz sam padł ich ofiarą…

  20. Coś jest nie tak z tymi mailami od neo24.pl
    Opisze moją sytuację. Kupiłem na allegro dysk od neo24 przez allegro do paczkomatu. Tam przebiegała cała aukcja i wszystko przebiegało na moim prywatnym koncie allegro z zarejestrowanym mailem w gmail. Teraz uwaga. Opisanego maila w artykule nie otrzymałem na gmaila tylko na MOJEGO FIRMOWEGO MAILA w domenie com, na którym nigdy nie robiłem żadnych zakupów ani przez allegro ani w neo24!!!!!
    To jest jakiś absurd, na gmaila nie dostałem poniższego maila tylko na firmowe. Nigdzie po drodze nie przekazywałem firmowego maila *.com, który nie ma nic wspólnego z gmailem.
    Treść maila:
    Szanowni Państwo,

    informujemy, że istnieje prawdopodobieństwo ujawnienia danych osobowych Klientów z archiwalnej (funkcjonującej do dnia 25.10.2017 r.) bazy sklepu internetowego NEO24.PL. W związku z tym, w trosce o Państwa bezpieczeństwo rekomendujemy:
    • Niezwłoczną zmianę hasła do konta w sklepie internetowym NEO24.PL.
    • Zmianę haseł do innych serwisów internetowych, w których korzystają Państwo z hasła użytego do rejestracji w sklepie internetowym NEO24.PL.
    • Nieodpowiadanie na maile pochodzące z nieznanych i niezweryfikowanych źródeł.
    Obecnie przy współpracy z wysokiej klasy specjalistami ds. bezpieczeństwa sieci komputerowych analizujemy wszelkie kwestie związane z zaistniałą sytuacją.
    W razie jakichkolwiek pytań lub wątpliwości prosimy o kontakt drogą elektroniczną na adres: bezpieczenstwo@neo24.pl

    Z poważaniem

    Zespół NEO24.PL

  21. 1. Przetwarzając (choćby przechowując te dane) nie spełnili obowiązku informacyjnego. Zrobiłem tam zakup w 2013r, nie przypomnieli się przy okazji rodo – normalnie to bym konto usunął.
    2. Wszędzie piszą o hasłach a nie haszach. Czyżby plain text?

    • Założyłbym raczej, że postanowili oszczędzić nietechnicznym użytkownikom zastanawiania się, co oznacza termin “funkcja skrótu”.

      Poza tym – jak pisałem wcześniej – czasem znając funkcję skrótu można ustalić hasło. Zwłaszcza gdy hasło to “haslo”, “mojehaslo” albo “D**A”.

    • to usuń tam konto, ja tak zrobiłem, czekam tylko na potwierdzenie z ich strony.

    • Ale zobacz jaka jest retoryka: ratuj się, Twoje hasło uciekło, ZGINIESZ! Gdyby to były porządne hasze, można byłoby problem przedstawiać mniej katastroficznie.

  22. Kupowałem u nich jedną rzecz prawie 10 lat temu, a teraz się dowiaduję, że mam zmienić hasło i mam konto. Przypomnienie działa, hasło zmienione, mogłem się zalogować. Po za “tylko” moimi wszystkimi danymi osobowymi nic więcej nie znalazłem… ufff, co za ulga nikt się nie dowie, że kupiłem pewnie jakieś agd.

  23. Dlaczego Neo24.pl przetwarza (przechowuje) dane klientów, które samo określa jako “archiwalne”? Do czego tej firmie są potrzebne dane ludzi, którzy kiedyś coś u niej kupili, ale nie zamierzają kontynuować żadnej dalszej współpracy?

    Do tego jak widać nie potrafią takich danych strzec we właściwy sposób. Bo przecież one w żadnym razie “nie biorą udziału” w bieżącym działaniu sklepu.

    Z tego co pamiętam wraz z RODO wszystkie sklepy przysyłały spam czy chce się, żeby nasze dane były nadal przetwarzane przez nich, chociaż ostatnie zakupu były robione np 10 lat temu :( No i co ktoś odmówił dalszej chęci przetwarzania danych przez dany sklep (nie wyrażając zgody, bo zgoda musiała być jawna a nie domniemana), a oni i tak mają to gdzieś i sobie trzymają takie dane i jeszcze ich nie potrafią strzec.

    Ja to nawet nie mogę usunąć konta w Neo24, bo hasła nie pamiętam a przywrócenie hasła (reset) nic nie przysłało na maila. A konto chyba mam, bo Neo24 przysłało mi tą informację (chociaż to nie jest pewne, bo mogłem robić tam zakupy bez zakładania konta).

    • Historię zamówień (przede wszystkim dane, na które wystawiono dokumenty sprzedaży) MUSZĄ przechowywać przez ustawowy czas (kiedyś było to 5 lat, obecnie chyba więcej) – na wypadek kontroli skarbowej. Poza tym są to dane archiwalne objęte kategorią archiwistyczną (klasy B, a więc brakowaną po okresie przechowywania, ale to swoją drogą).

    • @Lukasz032 – Ale muszą te dane przechowywać na komputerach wystawionych do sieci? Zwłaszcza dane użytkowników, którzy nie zakładali konta (wtedy te dane należy traktować jako ściśle księgowe).

  24. Sklep neo24, jak się okazuje, występował w sieci pod rozlicznymi aliasami, np. neodziecko czy neozabawki. Początkowo nie zdawałem sobie sprawy z tego, że również byłem ich klientem, ale otrzymałem od nich mail informujący o możliwym wycieku haseł. Bez problemu zalogowałem się na swoje dane z jednego z bliźniaczych sklepów, którego domena już dawno wygasła. W profilu był komplet danych osobowych, za to na liście zamówień pusto.
    Nie wiem czemu składują dane tak długo. Inne sklepy potrafią usunąć profil użytkownika po roku bez aktywności (co też jest męczące).

  25. Cóż to za brednie! Jakie dane osobowe są niezbędne przy zakupie na paragon? Dane osobowe są jedynie potrzebne do wysyłki i jako takie powinny być usunięte po potwierdzeniu otrzymania przesyłki przez kupujacego. Proszę przy tym zauważyć, że do reklamacji potrzeby jest jedynie paragon, a jak wskazuje praktyka, nawet nie oryginał, a kopia wystarczy. Reklamacje może złożyć KAŻDY, kto taki paragon lub jego kopie oraz kupiony przedmiot posiada.
    Przy zakupach na firmę to jest inna bajka, ale tam są dane firmy i one nie podlegają ochronie i RODO.

    Inna sprawa, że firmy nagminnie łamią prawo. Kupiłem kiedyś buty w pewnej firmie na wieloC i składałem tam reklamacje, a sprzedawczyni prosi mnie o adres i imię i nazwisko. Pytam się, czy jak kupowałem, to podawałem te dane. Nie i po moim telefonie do centrali firmy “łaskawie” przyjęto reklamacje na nr paragonu. Można? No można, ale trzeba DOMAGAĆ się respektowania swoich praw, a takie firmy jak neo powinny być puszczane w skarpetach.

    “Historię zamówień (przede wszystkim dane, na które wystawiono dokumenty sprzedaży) MUSZĄ przechowywać przez ustawowy czas (kiedyś było to 5 lat, obecnie chyba więcej) – na wypadek kontroli skarbowej. “

  26. Na moje żądanie usunięcia danych i konta z neo24.pl ktoś z nich odpisał, że tego nie zrobić nie mogą :)
    Może fizycznie ukradli im część danych

  27. A ja u nich nie mialem konta – zrobilem jedynie zakup. Dostalem info o wlamie i utracie danych. Niestety co gorsza baza tych emaili juz trafila do spamerow. Liczba spamow niewylapywanych przez spamcopa znacznie sie zwiekszyla w ostatnim tygodniu.

  28. Mocny kandydat do kontroli PUODO.

  29. Zadałem im pytanie i dostałem taką odpowiedź:

    Bazy danych zawierających hasła do konta przechowywane są w postaci zaszyfrowanej algorytmem kryptograficznym oraz salt.

    • Ja zadałem podobne pytanie i dostałem identyczną odpowiedź. :)
      Mam nadzieję, że z tym “szyfrowaniem” to tylko przejęzyczenie i używali funkcji hashującej (najlepiej wzmocnionej przez np. PKBDF2).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.