Dane ponad 200 tysięcy Polek i Polaków zostały wykradzione ze sklepu internetowego, oferującego m.in. armaturę łazienkową i sprzęt AGD. W plikach można znaleźć adresy e-mail, hashe haseł, numery telefonów czy adresy zamieszkania.
Sprawa dotyczy sklepbaterie.pl. Za atak odpowiedzialna jest grupa Funksec, która 19 grudnia 2024 r. dodała wspomnianą witrynę na listę ofiar. Wówczas cyberprzestępcy żądali okupu w wysokości 10 milionów dolarów. Jako dowód ataku dodano m.in. zrzuty ekranu zawierające próbkę wykradzionych plików oraz zawartość katalogów, które zostały upublicznione 6 stycznia br. na znanej platformie do anonimowego przechowywania danych.
Niezdecydowani cyberprzestępcy
Data opłacenia okupu była wyznaczona na 1 stycznia 2025 roku. Dwa dni później grupa Funksec dodała wpis informujący o „ostatnim ostrzeżeniu” oraz publikacji 28 gigabajtów danych w przeciągu dwóch dni. 6 stycznia cyberprzestępcy opublikowali link do pobrania 32 megabajtowego archiwum. Oznacza to, że Funksec opublikował zdecydowanie mniej danych niż miało to mieć miejsce po rzekomym upływie tzw. „deadline’u”, czyli czasu na wpłacenie okupu.
Wyciek danych Polaków
Po rozpakowaniu archiwum możemy zapoznać się z 69 plikami w formacie .csv, które zajmują łącznie 112 megabajtów. Tylko osiem z nich jest większe niż 3,5 MB. Wśród nich znajdują się dane ponad 200 tys. klientów sklepu.
Analiza danych klientów
Plik clients.csv składa się z 218 942 linijek. Zawieta takie kolumny, jak m.in.:
- login;
- numer telefonu;
- adres e-mail;
- hash hasła;
- imię i nazwisko.
15 790 loginów zaczyna się od frazy „login”, zawierając ten sam hash hasła oraz unikalne adresy e-mail i numery telefonu. Pozostałe 203 152 rekordy zawierają dane, które w zdecydowanej większości wyglądają na autentyczne. Wśród nich znajduje się również spam, lecz stanowi to niewiele ponad 1,6% wszystkich rekordów (ok. 3600 tysiące linijek).
67 932 hasła były przechowywane jako funkcja skrótu algorytmu bcrypt, zaś pozostałe najprawdopodobniej jako MD5.
W kolumnie „phone” znajduje się 176 565 numerów telefonu. 96,4% rekordów zawiera adres e-mail – 41% z nich pochodzi z domeny @gmail.com, zaś 18% wykorzystuje domenę @wp.pl. Powyższy wyciek stanowi duże zagrożenie dla osób, które wykorzystują wspomniane dane logowania w więcej niż jednym miejscu, co oczywiście jest bardzo złą praktyką.
Nieco ponad 35% rekordów zostało dodanych do bazy w tej samej minucie, co może wskazywać na import poprzedniej bazy. Wpisy były tworzone pomiędzy lutym 2020 roku i sierpniem 2024 roku.
Analiza innych plików
Arkusz clients_adresses.csv składa się z 194 005 linijek. Plik najprawdopodobniej zawiera adresy zamówień zarówno przedsiębiorstw oraz osób fizycznych. Szczegółowa analiza z wyróżnieniem liczby firm wymaga wielogodzinnej pracy, lecz niektóre z rekordów na pewno dotyczą osób fizycznych. Warto również dodać, że nazwy wybranych przedsiębiorstw powtarzają się w dokumencie.
W jednym z plików znajdują się również uwagi do zamówień, złożone najprawdopodobniej przez formularz.
Stanowisko firmy oraz zgłoszenia
20 grudnia ub. r. skontaktowaliśmy się ze sklepbaterie.pl. Prezes zarządu firmy zapewnił nas o tym, że o sprawie poinformowane zostało CBZC oraz UODO. Przekazano nam również, że wykradzione dane są najprawdopodobniej archiwalne oraz nie pochodzą z obecnie użytkowanej infrastruktury.
Uzyskaliśmy również informację, że firma przeprowadziła analizę środowiska, która nie wykazała „żadnej podejrzanej aktywności”. Nie zaszyfrowano również żadnych urządzeń oraz nie wystąpiło żądanie okupu. Należy podkreślić, że firma nie zlekceważyła incydentu oraz – zgodnie z zapewnieniami – skontaktowała się z odpowiednimi służbami.
Incydent zgłosiliśmy do CERT Polska. Zwróciliśmy się również do hostingodawcy z prośbą o usunięcie archiwum. Miejmy nadzieję, że portal bezpiecznedane.gov.pl, po uprzedniej analizie ekspertów, uwzględni wspomniany wyciek danych w swoich zbiorach.
Źródło: cyberdefence24.pl
Dodaj komentarz