Polski rynek e-commerce zmaga się z poważnym incydentem bezpieczeństwa. Platforma Sky-Shop, która obsługuje tysiące rodzimych sklepów internetowych, padła łupem cyberprzestępców. Skala zdarzenia może budzić niepokój – włamanie mogło objąć informacje z blisko 9 tysięcy serwisów, choć część z nich funkcjonowała w trybie testowym i nie gromadziła rzeczywistych danych klientów.
Co szczególnie niepokojące, atak pozostawał niewykryty przez niemal dziesięć dni. Pierwsze włamanie odnotowano 19 października, ale dopiero 28 października dostrzeżono naruszenie. Przez ten czas intruzi mieli niemal nieograniczony dostęp do systemu. Dopiero dzień później udało się zablokować ścieżkę ataku i oszacować rozmiary szkód. Teraz przed właścicielami sklepów stoi trudne wyzwanie komunikacyjne — muszą poinformować klientów o potencjalnym zagrożeniu.
Masowy wyciek danych z platformy Sky-Shop
Źródłem problemów okazała się mało znana luka w jednym z elementów systemu Sky-Shop. Najgorsze, że w momencie ataku nie istniała jeszcze łatka bezpieczeństwa, która mogłaby zapobiec incydentowi. Cyberprzestępcy wykorzystali tę podatność do metodycznego eksportowania informacji z platformy. Wśród danych, które wyciekły, znalazły się imiona i nazwiska, adresy e-mail, dane adresowe, numery telefonów oraz informacje potrzebne do wystawienia faktur. Wyciekły również hasła, na szczęście zabezpieczone algorytmem SHA512, więc nie są w postaci jawnej. Mimo wszystko – choć hasła nie wyciekły w czytelnej formie, istnieje teoretyczna możliwość ich odzyskania przez wystarczająco zdeterminowanego napastnika.
Czytaj też: Android bezpieczniejszy od iOS? Najnowszy raport zaskakuje
Istnieje jednak iskierka nadziei dla części konsumentów. Incydent dotyczy wyłącznie osób, które założyły konta w sklepach. Klienci dokonujący zakupów bez rejestracji nie muszą się obawiać – ich dane pozostały nienaruszone. Na szczęście nie doszło do wycieku numerów kart płatniczych ani historii zamówień.
Sky-Shop powiadomiło właścicieli wszystkich potencjalnie dotkniętych sklepów, ale to nie rozwiązuje wszystkich kłopotów
Niestety, platforma nie ma obowiązku bezpośredniego kontaktu z końcowymi użytkownikami – ten ciężar spoczywa na administratorach poszczególnych serwisów. W praktyce oznacza to, że niektórzy klienci mogą nigdy nie dowiedzieć się o wycieku, jeśli zarządzający sklepem zbagatelizują sprawę. Konsumenci mogą samodzielnie zweryfikować, czy dany sklep korzysta z oprogramowania Sky-Shop. Wystarczy sprawdzić stopkę strony i poszukać frazy „Sklep internetowy na oprogramowaniu Sky-Shop.pl”. Niektóre serwisy już podjęły działania – na przykład Rolnet.pl zresetował hasła wszystkim użytkownikom i wymaga ustawienia nowych przy kolejnym logowaniu.
Budzący wątpliwości jest także sposób przekazywania informacji przez platformę. Sky-Shop podkreśla, że hasła nie wyciekły w postaci jawnej, co technicznie odpowiada prawdzie. Problem w tym, że shashowanie SHA512, choć utrudnia odzyskanie haseł, nie stanowi nieprzekraczalnej bariery. Specjaliści wskazują, że takie sformułowania mogą wprowadzać w błąd i zniechęcać do zmiany haseł.
Czytaj też: Proton przejrzy Dark Web i uprzedzi nas o wycieku danych, zanim firmy się do niego przyznają
Dlatego w tym momencie najważniejsze jest, by natychmiast zmienić hasło we wszystkich sklepach opartych na platformie Sky-Shop. To jednak nie wystarczy – jeśli korzystaliście z identycznych haseł w innych serwisach, należy je zmienić również tam. To doskonały moment, żeby rozważyć korzystanie z menedżera haseł, który umożliwia stosowanie unikalnych, skomplikowanych kombinacji w każdym serwisie. Warto również pomyśleć o zastrzeżeniu numeru PESEL – choć sam numer nie został ujawniony, połączenie innych danych osobowych może ułatwić próby wyłudzeń. Szczególną ostrożność należy zachować wobec nietypowych wiadomości e-mail i telefonów – przestępcy mogą wykorzystać skradzione informacje do ataków phishingowych.
Incydent ten uwidacznia szerszy problem polskiego handlu internetowego
Wielu konsumentów nie zdaje sobie sprawy, że dokonując zakupów przez Allegro, ich dane automatycznie trafiają do zewnętrznych sklepów, często z zakładaniem pełnoprawnego konta. W praktyce oznacza to, że nasze informacje osobowe mogą być przechowywane w dziesiątkach różnych miejsc, o których istnieniu nie mamy pojęcia. Dlatego na przyszłość warto rozważyć dokonywanie zakupów jako gość zamiast zakładania konta. Gdy to niemożliwe, można podawać ograniczone dane lub posługiwać się aliasami e-mail i zmienionymi numerami telefonów – szczególnie przy odbiorze w Paczkomacie, gdzie faktura nie jest wymagana. To może nie jest idealne rozwiązanie, ale wobec coraz częstszych wycieków danych, lepiej zachować daleko idącą ostrożność.
Czytaj też: Oppo przedłuża wsparcie swoich smartfonów. Te modele będą aktualizowane przez pięć lat
Platforma Sky-Shop deklaruje, że luka zabezpieczeń została załatana i wprowadzono dodatkowe środki ochrony. Pozostaje mieć nadzieję, że właściciele sklepów wywiążą się z obowiązku informowania klientów, a użytkownicy potraktują sprawę poważnie i zaktualizują swoje hasła. To z pewnością nie ostatni taki incydent w polskim internecie, więc wyrobienie sobie odpowiednich nawyków może się opłacić.