![Weekendowa Lektura: odcinek 616 [2025-03-23]. Bierzcie i czytajcie](https://zaufanatrzeciastrona.pl/wp-content/uploads/2024/02/library.jpg)
-58a2be0e820731b46df9d2cc102f8576.jpg)
![Jesteś w ciąży? Nie bądź targetem! Jak zachować prywatność w sieci [poradnik]](https://panoptykon.org/sites/default/files/2025-03/poradnik_prywatnosc_ciaza_grafika_pdf.png)
[AKTUALIZACJA #2] Wyciek danych klientów Empiku? Ktoś oferuje bazę na sprzedaż
Jak informuje nas czytelnik Arkadiusz, na jednym z cyberprzestępczych forów ktoś opublikował ogłoszenie sprzedaży bazy, która ma zawierać dane ponoć 24 milionów klientów Empiku. Oto screen dodanego ogłoszenia: Sprzedawca do ogłoszenia dodał próbkę, która zawiera dane kilkudziesięciu klientów: Jak widać, zawiera ona poniższe dane: Imię i nazwisko Numer telefonu Adres zamieszkania (dostawy?) E-mail Informacje dotyczące zamówień […]
![[AKTUALIZACJA #2] Wyciek danych klientów Empiku? Ktoś oferuje bazę na sprzedaż](https://niebezpiecznik.pl/wp-content/uploads/2025/03/empik-wyciek-600x528.jpg)
Jak informuje nas czytelnik Arkadiusz, na jednym z cyberprzestępczych forów ktoś opublikował ogłoszenie sprzedaży bazy, która ma zawierać dane ponoć 24 milionów klientów Empiku. Oto screen dodanego ogłoszenia:
Sprzedawca do ogłoszenia dodał próbkę, która zawiera dane kilkudziesięciu klientów:
Jak widać, zawiera ona poniższe dane:
- Imię i nazwisko
- Numer telefonu
- Adres zamieszkania (dostawy?)
- Informacje dotyczące zamówień (liczba, daty)
Ani ogłoszenie, ani ujawniona przez sprzedawcę próbka nie zawiera haseł. Nazwy kolumn sugerują, że źródłem może być jakiś system związany z reklamami. Podejrzanie wysoka i bardzo dziwnie podana jest też liczba rekordów (czy na pewno chodzi o 24 miliony użytkowników? Część osób sugeruje, że to zapis stosowany w Indiach i oznacza 2,4 miliona…), ale być może w pełnej bazie, która ma ważyć 47GB po prostu są “duplikaty”, co dodatkowo wspierałoby teorię dotyczącą systemu reklamowego/trackingowego.
Oświadczenie Empiku
Skontaktowaliśmy się z Empikiem i otrzymaliśmy następujące oświadczenie dotyczące tego incydentu (wytłuszczenia nasze):
(…) nadal trwa weryfikacja wspomnianych wcześniej podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemach Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach. Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze.
Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.
Na podstawie powyższego oświadczenia wcześniej wskazanych przez nas wątpliwości co do pochodzenia danych w próbce, wydaje się, że źródłem danych (i zaatakowanym systemem) może być infrastruktura innej firmy (pośrednika? programu partnerskiego/reklamowego?).
Mimo to, na wszelki wypadek, wszystkim klientom Empiku zalecamy — do momentu pełnego wyjaśnienia tego incydentu — założyć najgorszy scenariusz i wdrożyć prewencyjną zmianę hasła oraz oswoić się z myślą, że dane, które podaliście podczas zakupów na tej platformie stały się jawne i ktoś może ustalić Wasz:
adres zamieszkania na podstawie e-maila albo numeru telefonu albo nazwiska
numer telefonu na podstawie e-maila albo adresu albo nazwiska
e-mail na podstawie adresu lub numeru telefonu albo nazwiska
nazwisko na podstawie e-maila albo numeru telefonu albo adresu zamieszkania.
Aktualizacja (22.03.2025 15:39)
Dodaliśmy oświadczenie Empiku.
Aktualizacja (23.03.2025 13:37)
Chwilę po 10:00 otrzymaliśmy kolejne oświadczenie Empiku, który po szczegółowej analizie danych w próbce ustalił, że “oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm“.
W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne. Z tego miejsca dziękujemy zespołowi ekspertów CERT za wsparcie w całym procesie i bardzo sprawną współpracę. Przy tej okazji chcielibyśmy również przestrzec przed publikowaniem i powielaniem w przestrzeni publicznej niezweryfikowanych informacji, szczególnie w tak wrażliwej kwestii jaką jest bezpieczeństwo danych.
Gratulujemy Empikowi zarówno szybkości działania jak i transparentnej komunikacji. Spreparowanie bazy wyjaśnia dlaczego nie było w niej ani haseł ani hashy haseł. Pozostaje pytanie, czy ktoś skusił się na zakup bazy. I jak szybko oferujący ją na sprzedaż użytkownik zostanie na forum zabanowany.
Kupowałem w Empiku — co robić, jak żyć?
Dane wyciekały, wyciekają i wyciekać będą. Jak nie z jednego sklepu to z drugiego.
O tym jak chronić się przed wyciekami danych (tymi, które już nastąpiły i tymi które niebawem nastąpią) oraz o tym jak sprawdzić, co w internecie krąży na nasz temat informowaliśmy w tym nagraniu, pokazując dziesiątki narzędzi, które mogą zminimalizować negatywne skutki wycieku naszych danych. Dziś, tylko do końca dnia niedzieli z hasłem WIOSNA możecie uzyskać dostęp do tego nagrania za 50% ceny — na obejrzenie macie 30 dni, więc na pewno zdążycie. Tutaj link bezpośrednio do koszyka. Na prośbę Czytelników, przedłużyliśmy promocję do końca weekendu.
