13:26
2/6/2020

Wyciek danych klientów Decathlon

Decathlon zaczął właśnie informować swoich klientów, że ich dane mogli pozyskać włamywacze. Oto wiadomość, jaką otrzymują niektóre z osób, które pozostawiły Decathlonowi swoje dane:

Oto pełna treść komunikatu, wytłuszczenia nasze:

Dzień dobry,
piszemy do Ciebie, gdyż otrzymaliśmy informację, że doszło do naruszenia bezpieczeństwa Twoich danych osobowych. Kwestie bezpieczeństwa naszych klientów traktujemy priorytetowo, dlatego proszę, przeczytaj uważnie poniższą wiadomość.

1. Co się stało?
Dnia 27 kwietnia 2020 r. wieczorem, doszło do nieuprawnionego zalogowania się do systemu podwykonawcy Decathlon. Jest to narzędzie informatyczne służące do wysyłki wiadomości SMS (tzw. “bramka SMS”). Po zalogowaniu osoby nieuprawnione wygenerowały raport z działań, podejmowanych przez Decathlon za pośrednictwem tej platformy, za okres od 23.02.2020 r. do 24.04.2020 r. Nie mamy informacji o tym, czy pobrane w ten sposób dane zostały w jakikolwiek sposób wykorzystane.

2. Co to oznacza dla Ciebie?
Twój numer telefonu był w pobranym raporcie. Doszło w ten sposób do naruszenia poufności Twoich danych osobowych, przez co osoby nieuprawnione mogły uzyskać dostęp do następujących danych:

    Twojego numeru telefonu;
    numeru zamówienia złożonego przez Ciebie w Decathlon;
    kodu do odbioru Twojego zamówienia internetowego Decathlon.

WAŻNE: raport nie zawierał żadnych innych danych osobowych dotyczących Twojej osoby takich jak: imię, nazwisko czy adres zamieszkania.
W zaistniałej sytuacji jesteśmy zobowiązani poinformować Cię, że możliwe konsekwencje naruszenia Twoich danych osobowych obejmują:

    w przypadku otrzymania wiadomości SMS zawierającej link – skorzystanie z zamieszczonego linku może doprowadzić do: złamania zabezpieczeń urządzenia, pobrania zapisanych na nim plików, dostępu do aplikacji zainstalowanych na urządzeniu, wyłudzenia pieniędzy lub dodatkowych danych osobowych;
    uzyskanie przez osoby nieuprawnione Twojego numeru telefonu i jego wykorzystanie dla własnych celów – ryzyko podszycia się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych danych lub określonych informacji.

3. Jakie działania podjęliśmy jako Decathlon?
Mimo że nie posiadamy informacji o dalszym wykorzystaniu danych, do których dostęp uzyskały osoby trzecie w wyniku tego incydentu, zapewniamy Cię, że traktujemy tę sprawę bardzo poważnie. Po otrzymaniu w dniu 29 maja 2020 r. potwierdzenia wystąpienia zdarzenia niezwłocznie podjęliśmy następujące działania:

    zgłosiliśmy incydent do Prezesa Urzędu Ochrony Danych Osobowych w celu podjęcia stosownych działań ochronnych;
    zobowiązaliśmy naszych dostawców do wdrożenia dodatkowych zabezpieczeń ograniczając dostęp do systemów informatycznych;
    wprowadzamy dodatkowe poziomy zabezpieczeń dostępu do przetwarzanych danych.

4. O co prosimy Ciebie?
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby:
zignorować podejrzane wiadomości SMS i nie klikać w podane w nich linki;
zachować ostrożność w sytuacji odbierania połączeń telefonicznych przychodzących z nieznanych numerów telefonów.

Jeżeli masz dodatkowe pytania w zakresie naruszenia, prosimy o kontakt z Inspektorem Ochrony Danych (IOD) wyznaczonym przez Decathlon sp. z o.o. – panem Maciejem Kaczmarskim. Z inspektorem można skontaktować się za pośrednictwem wiadomości e-mail: iod@decathlon.com lub pisemnie pod adresem: Decathlon sp. z o.o., Inspektor Ochrony Danych Osobowych, ul. Geodezyjna 76, 03-210 Warszawa.

5. Przepraszamy
Chcieliśmy serdecznie przeprosić za zaistniałą sytuację. Zapewniamy, że temat bezpieczeństwa danych osobowych jest dla nas priorytetem. Między innymi dlatego zależy nam, aby w sposób wyczerpujący wyjaśnić ten incydent i poinformować właścicieli skradzionych numerów telefonów, nawet jeśli nie wiemy, czy było to celowe czy przypadkowe działanie a także czy dane te zostały wykorzystane w jakikolwiek sposób.Wydarzenie to stanowi dla nas mobilizację do zwiększenia wymagań w kwestii bezpieczeństwa wobec naszych dostawców i wdrożonych zabezpieczeń.

Ze sportowymi pozdrowieniami, David Derouané, Dyrektor Generalny Decathlon Polska
Ważne! Prosimy nie odpowiadaj na tego e-maila bezpośrednio.Jeśli chcesz się z nami skontaktować to nasz zespół jest do Twojej dyspozycji, napisz do
nas klikając adres mailowy: kontakt@decathlon.pl Administratorem Państwa danych osobowych jest Decathlon sp. z o. o. z siedzibą w Warszawie ul. Geodezyjna 76, 03-290 Warszawa. Szczegółowe informacje dotyczące zasad przetwarzania danych osobowych znajdą Państwo w polityce prywatności.

Pocieszające jest to, że wyciek nie dotyczy wszystkich klientów, gdyż logi wskazują na pobranie raportu z od lutego do kwietnia i to tylko i wyłącznie tych klientów, do których Decathlon, jak rozumiemy, wysyłał komunikaty marketingowe jako SMS-y. Nie wiadomo ilu jest poszkodowanych, ale — patrząc po tym ilu naszych Czytelników otrzymało tę wiadomość — szacujemy że sporonaście tysięcy :)

Naszym zdaniem, tego typu dane (numer telefonu) z punktu widzenia złodzieja najkorzystniej będzie wykorzystać do ataków phishingowych (także z wykorzystaniem złośliwego oprogramowania), podszywając się pod Decathlon i prosząc np. o uzupełnienie danych lub oferując atrakcyjną zniżkę w zamian za… Atak nie wygląda aż tak strasznie jak przedstawia to Decathlon w swoim komunikacie (że po jednym kliknięciu w link, ktoś przejmuje kontrolę nad smartfonem). To możliwe w bardzo skrajnych przypadkach i raczej zdarza się w przypadku zupełnie innych ofiar niż klienci sklepu sportowego :)

Co robić po wycieku naszych danych?

To zależy. Od wielu rzeczy. Przede wszystkim od tego jakie dane wyciekły. Ponieważ bardzo ciężko jest to w pełni przedstawić słowem pisanym — bo temat skomplikowany — miesiąc temu przygotowaliśmy wykład mówiący o tym co robić zarówno po tym jak nasze dane skądś wyciekną jak i co zrobić, aby na wyciek danych się przygotować. Bo on nastąpi. A raczej już na pewno nastąpił, tylko jeszcze możemy o tym nie wiedzieć. Z nagraniem wykładu możesz zapoznać się w tym miejscu (użyj kodu SPORTTOZDROWIE) aby obniżyć cenę o 70PLN. Wykład jest prowadzony przystępnym językiem i zawiera sprawdzone w boju porady wraz z oceną sensowności stosowania niektórych dostępnych na polskim rynku usług i tych płatnych i darmowych, które poleca się ofiarom wycieków, nie zawsze zasadnie. Kliknij tutaj, aby obejrzeć nasz wykład.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. To nie jest wyciek w InPoście? Nie kojarzę by Decathlon sam z siebie wysyłał jakiekolwiek SMSy, a “kod zamówienia” brzmi jak kod do paczkomatu.

    • Nie,
      Decathlon wysyłał sms-y z kodem odbioru, jeśli zamawiałeś z odbiorem w sklepie.

    • Raczej nie, w trakcie epidemii sklepy Decathlon były zamknięte, ale można było kupić towar online z odbiorem w sklepie za godzinę. Trochę osób z tego korzystało – w tym ja. Do odbioru potrzebny był kod wysyłany m.in. SMSem oraz dokument ze zdjęciem (oficjalnie).

  2. Ciekawe czy to może mieć związek z ożywieniem się InP0stu. Dziwi też fakt jak ktoś mógł sobie od tak pobrać mały zakres danych oraz czemu nie pobrał więcej

  3. Teoretycznie mowa tez tutaj o geolokalizacji :)
    Pewnie max 4-6% to osoby spoza miejsca zamieszkania co odbieraja produkt.
    Dodatkowy punkt do danych “tele” adreswoych.

  4. Oczywiście o wykryciu poważnej luki w zabezpieczeniach „Sign in with Apple” ani słowa. Bo nie wpisuje się to w tezę o “superbezpiecznym” iPhonie?

    • Chcesz, to opisz i podeślij — opublikujemy. Poza faktem sutej nagrody, nie za wiele jest tam jednak istotnych informacji dla “użytkowników iPhonów”. Błąd szkodził danym składowanym w serwisach firm trzecich (nie samemu serwisowi AppleID), do których ktoś się logował korzystając z mechanizmu Sign in with Apple przy spełnieniu dodatkowych zależności: “vulnerability related only to third-party apps which used Sign in with Apple without taking any further security measures”. My od zawsze odradzamy korzystanie z mechanizmów logowania przez FB/Googe/etc., z wielu powodów.

    • Piotr Konieczny – “My od zawsze odradzamy korzystanie z mechanizmów logowania przez FB/Googe/etc., z wielu powodów.” – publikowaliście może jakiś artykuł na temat?

    • marc – Niebezpiecznik przy wielu okazjach związanych z bezpieczeństwem podrzuca idee logowania się poprzez social media etc. Jeśli chcesz się bardziej z tym zapoznać możesz obejrzeć https://sklep.niebezpiecznik.pl/opis/7 oraz wpłacić coś na szczytny cel :P

  5. “sporonaście” – po jakiemu to?

  6. “Dzień dobry” i “do Ciebie”, czyli brak profesjonalizmu i szacunku do klienta. Dla mnie firma jest skreślona za samo użycie takich sformułowań.

    • A więc jakich zwrotów byś użył zamiast tego?

    • Pinkerton: takich jakich się powinno używać w profesjonalnej korespondencji listownej do nieznanej bliżej osoby, zapraszam do piątej lub szóstej klasy podstawówki, chyba tam było na ten temat. O ile dzień dobry (w wypadku e-maila) jeszcze można warunkowo zaakceptować to zwrotu “piszemy do Ciebie (…)” już nie.

    • Ogólnie taki zwrot nie jest poprawny, ale wiele firm pisze właśnie w taki sposób.

Odpowiadasz na komentarz Admon1

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: