Sieć drogerii Super-Pharm poinformowała o naruszeniu bezpieczeństwa danych osobowych swoich klientów. Przyczyną był atak hakerski. W wyniku incydentu nieuprawniona osoba uzyskała dostęp do informacji tj. imię, nazwisko, adres e-mail oraz hash hasła, a w niektórych przypadkach także data urodzenia i informacje o płci. Spółka zapewnia, że natychmiast podjęła działania zabezpieczające, aby zablokować dostęp i wyeliminować lukę w systemie.
"Wysyłamy tę wiadomość, ponieważ z przykrością musimy poinformować o naruszeniu ochrony danych dotyczącym serwisu Super-Pharm, służącego do sprzedaży internetowej produktów drogeryjnych i aptecznych. Przyczyną naruszenia był atak hakerski wykorzystujący lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę" – poinformowała spółka w wiadomości e-mail przesłanej do klientów.
Wyciekły dane klientów drogerii
Spółka wykryła wspólnie z dostawcą potencjalny wyciek 21 października 2024 r. Wyciek dotyczył części danych klientów drogerii. W wyniku incydentu nieuprawniona osoba pobrała z bazy danych Super-Pharm informacje dotyczące klientów, obejmujące:
- imię i nazwisko,
- adres e-mail,
- hash hasła do konta (kryptograficzny skrót chroniący hasło),
- w niektórych przypadkach datę urodzenia oraz informacje o płci.
Ponadto w bazie znajdowały się szczegóły zamówień i rezerwacji, takie jak adresy dostawy i numery telefonów. Spółka zapewnia jednak, że brak jest dowodów na to, aby nieautoryzowane osoby uzyskały dostęp do tych dodatkowych informacji. Naruszenie nie objęło danych związanych z Klubem Super-Pharm ani danych logowania do aplikacji mobilnej Super-Pharm.
Spółka zapewnia, że hasła do logowania na konto były zahaszowane. Haszowanie to proces kryptograficzny, który służy do ochrony haseł poprzez ich zamianę na unikalny skrót (hash), zamiast przechowywania ich w oryginalnej formie.
Konsekwencje ataku dla klientów
Incydent może mieć różnorodne konsekwencje dla użytkowników serwisu drogerii Super-Pharm. Klienci w przesłanej wiadomości są ostrzegani przed następującymi zagrożeniami:
- Możliwe ataki na inne systemy: jeśli klient używał tego samego hasła w innych serwisach, osoby trzecie mogą próbować złamać hasła do kont.
- Spam i phishing: użytkownicy mogą otrzymywać niechciane oferty i być narażeni na próby wyłudzenia danych przez osoby podszywające się pod zaufane instytucje.
- Wykorzystanie adresu e-mail: atakujący mogą próbować używać adresu e-mail do zakładania kont w innych serwisach internetowych.
"Przepraszamy za wszelkie niedogodności związane z incydentem i zapewniamy, że traktujemy tę sprawę z najwyższą powagą. Kwestia bezpieczeństwa jest dla nas priorytetem, dlatego natychmiast podjęliśmy działania mające na celu zablokowanie nieautoryzowanego dostępu do systemu i wyeliminowanie źródła problemu" – podaje Super-Pharm.
Zaraz po wykryciu naruszenia Super-Pharm, we współpracy z dostawcą systemu, wdrożyła szereg środków mających na celu ochronę danych klientów i minimalizację ryzyka podobnych incydentów w przyszłości. Podjęte kroki obejmowały m.in.: zablokowanie dostępu, usunięcie luki w systemie, zgłoszenie incydentu do Prezesa Urzędu Ochrony Danych Osobowych, a także do policji i zespołu CERT Polska.
oprac. DF