7 przykładów wycieków danych w e-commerce. Skutki dla przedsiębiorców

1. Morele.net — utrata zaufania klientów

Morele.net, popularny sklep internetowy, padł ofiarą ataku hakerskiego. Do incydentu doszło w 2018 roku. Wtedy dane ponad 2 mln użytkowników sklepu internetowego zostały upublicznione, w tym adresy e-mail i hasła.

Ponowne postępowanie wykryło, że przyczyną wycieku danych osobowych klientów była niewystarczająca ochrona danych. Administrator między innymi nie zaszyfrował pewnych informacji, nie zapewnił odpowiedniego systemu uwierzytelniania i nie przeprowadził kompleksowej analizy ryzyka. W rezultacie doszło do dwóch przypadków nieautoryzowanego dostępu zewnętrznego.

Jak komunikować się z konsumentami po wycieku danych? Monika Świetlińska

UODO nałożył na internetowy sklep karę w wysokości 3,8 mln zł. Wysokość kary została ustalona zgodnie z wytycznymi Europejskiej Rady Ochrony Danych Osobowych. W przypadku Morele.net atak hakerski był szczególnie szkodliwy z uwagi na dużą liczbę klientów i skradzionych danych.

2. Allegro — największy polski marketplace w tarapatach

Allegro doświadczyło poważnego wycieku danych 88 tys. użytkowników w drugim kwartale 2023 roku. Atak hakerski ujawnił adresy e-mail oraz hasła do kont klientów.

Allegro poinformowało wszystkich, których adresy e-mail znalazły się w bazie, o konieczności resetu haseł. W wiadomości e-mail, platforma zaleciła ustawienie nowych haseł na Allegro, zmianę haseł do skrzynek e-mailowych i przeskanowanie urządzeń aplikacjami antywirusowymi.

Agata Voelkel, PR Officer w Allegro, wyjaśniła w Wirtualnychmediach, że incydent wynikał z ataku malware na komputery użytkowników, a nie przełamania zabezpieczeń Allegro. Zalecono dwustopniowe logowanie, instalację programów antywirusowych oraz przechowywanie haseł w menedżerze haseł.

3. x-kom.pl — hakerzy na celowniku

Sklep internetowy x-kom.pl również doświadczył wycieku danych. 30 maja 2023 roku pojawiły się informacje o udostępnieniu w sieci loginów i haseł polskich użytkowników różnych portali. 

Sklep internetowy, do którego część danych się odnosiła, potwierdził, że wyciek nie był wynikiem ich luki bezpieczeństwa. Źródłem wycieku najprawdopodobniej było złośliwe oprogramowanie na komputerach użytkowników. x-kom.pl zablokował zagrożone konta i zaapelował do klientów o zmianę haseł. Dane udostępnione w sieci obejmowały także dostępy do kont e-mail, serwisów rządowych, mediów społecznościowych i banków. 

Sklep podjął odpowiednie kroki, aby zapobiec dalszemu nieautoryzowanemu dostępowi, monitoruje sytuację i reaguje na bieżąco.

4. The North Face — globalny gracz z problemami

W grudniu 2023 roku doszło do wycieku danych ponad 35 milionów klientów marek takich jak Vans, Supreme, Timberland i The North Face, należących do VF Corp. W styczniu 2024 r., firma poinformowała o incydencie bezpieczeństwa danych i problemach z systemami informatycznymi, które wpłynęły na realizację zamówień. Firma uspokajała, że wrażliwe dane płatności nie zostały ujawnione. 

Kary w branży e-commerce, o których głośno się nie mówi Monika Świetlińska

Cyberatak przypisano grupie hakerskiej ALPHV. Klienci The North Face zostali poinformowani o możliwym wycieku danych takich jak e-mail, imiona, nazwiska, numery telefonów oraz adresy. Firma zapewniła, że usunięto skutki ataku i systemy działają prawidłowo. Użytkownicy powinni zachować ostrożność, zwłaszcza w kontekście otrzymywania nieznanych linków czy wiadomości.

5. DeeZee.pl — atak na sektor modowy

4 kwietnia 2024 roku, sklep internetowy deezee.pl poinformował swoich klientów o wycieku danych z połowy marca. Platforma e-commerce AtomStore zidentyfikowała wyciek adresów mailowych i informacji o ilości oraz wartości zamówień. Wyciek dotyczył adresów e-mail, zaszyfrowanych haseł oraz danych zamówień, ale nie obejmował danych adresowych. 

Firma zaleciła zmianę haseł i ostrożność przy odbieraniu wiadomości. Sklep podjął natychmiastowe kroki: zablokował dostęp osób trzecich, zgłosił incydent do organów, przeprowadził audyt oraz zabezpieczył infrastrukturę IT. AtomStore podjął działania minimalizujące skutki ataku i wdrożył dodatkowe zabezpieczenia.

6. PandaBuy — miliony danych na forum hakerskim

W kwietniu 2024 roku dowiedzieliśmy się, że przestępcy Sangierro i IntelBroker ujawnili ogromną bazę danych, zawierającą informacje o ponad 1,3 miliona klientów platformy zakupów online PandaBuy, specjalizującej się w e-commerce z Chin. 

Wyciek został ogłoszony na forum BreachForums, gdzie cyberprzestępcy stwierdzili, że uzyskali dostęp wykorzystując krytyczne luki w interfejsie API platformy oraz inne błędy w wewnętrznej usłudze serwisu. Dane obejmują pełne nazwy kont, imiona i nazwiska klientów, dane kontaktowe takie jak numery telefonów i adresy e-mail, IP, szczegóły zamówień, kraje zamieszkania, adresy i kody pocztowe. 

Cyberprzestępcy udostępnili na forum również ograniczoną próbkę danych. Badacz cyberbezpieczeństwa Troy Hunt potwierdził, że dane faktycznie należą do klientów PandaBuy, wskazując na specyficzne cechy tych danych, takie jak obecność adresów Mailinatora.

7. POLOmarket — szybka reakcja na zagrożenie

POLOmarket doświadczył ataku hakerskiego w nocy z 3 na 4 maja 2024 roku. Hakerzy wykorzystali luki w zabezpieczeniach, aby dostać się do bazy danych klientów. Firma szybko wykryła incydent i podjęła natychmiastowe działania, aby ograniczyć jego skalę. Klientów ostrzeżono o ryzyku i zalecono zachowanie ostrożności przy odbieraniu wiadomości e-mail i telefonów.

Ranking najpopularniejszych domen e-commerce w Polsce. I kwartał 2024 Monika Świetlińska

Chociaż analizy nie wykazały ujawnienia numerów telefonów oraz adresów e-mail zarejestrowanych do POLOkarty i newslettera, nie ma również informacji o ich nieuprawnionym wykorzystaniu. Istnieje jednak ryzyko, że te dane mogą zostać użyte do wyłudzenia dodatkowych informacji. Firma zaleca ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców, nieklikanie w linki oraz nieotwieranie podejrzanych załączników. 

Skutki wycieków danych dla przedsiębiorców

Wyciek danych w e-commerce niesie za sobą szereg konsekwencji, które mogą mieć długotrwały wpływ na przedsiębiorstwa. Po pierwsze, utrata zaufania klientów jest jednym z najpoważniejszych skutków takich incydentów. Klienci, których dane zostały ujawnione, często tracą zaufanie do marki i mogą przenieść swoje zakupy do konkurencji.

Amerykańska firma Vercara, specjalizująca się m.in. w zabezpieczaniu danych w chmurze, opublikowała na początku roku wyniki swoich badań, które ujawniły, że 75% konsumentów zrezygnowałoby z korzystania z marki, której dane zostały wykradzione podczas cyberataku. Te wyniki znajdują potwierdzenie w badaniach przeprowadzonych na Uniwersytecie Ekonomicznym w Katowicach.

Ponadto, wycieki danych generują znaczne koszty finansowe. Firmy muszą inwestować w działania naprawcze, takie jak aktualizacja systemów zabezpieczeń, współpraca z firmami zajmującymi się cyberbezpieczeństwem oraz przeprowadzanie kampanii informacyjnych dla klientów. 

Dodatkowo, przedsiębiorstwa mogą być narażone na kary finansowe nałożone przez organy regulacyjne za niewystarczające zabezpieczenie danych osobowych.

Innym istotnym skutkiem wycieków danych jest negatywny wpływ na reputację firmy. Informacje o wycieku danych szybko się rozprzestrzeniają, co może prowadzić do utraty reputacji i spadku wartości rynkowej przedsiębiorstwa. Firmy muszą zainwestować znaczne środki w odbudowę swojej reputacji poprzez kampanie PR i działania marketingowe.

Nauka dla branży e-commerce

Wyciek danych w e-commerce pokazuje, jak ważne jest stosowanie zaawansowanych środków bezpieczeństwa i odpowiedzialne zarządzanie danymi klientów. Przedsiębiorcy powinni regularnie aktualizować oprogramowanie, stosować silne hasła i dwuetapową weryfikację. Ważne jest także przeprowadzanie audytów bezpieczeństwa i edukacja pracowników na temat cyberzagrożeń.

Dlaczego początek roku to idealny czas na audyt bezpieczeństwa Twojego e-sklepu?Monika Świetlińska

Firmy powinny również inwestować w zaawansowane technologie, takie jak szyfrowanie danych i systemy monitorowania ruchu sieciowego w czasie rzeczywistym. W przypadku wycieku danych, kluczowe jest szybkie reagowanie, informowanie klientów i podjęcie działań naprawczych. Wdrożenie polityki bezpieczeństwa danych i regularne szkolenia dla pracowników mogą znacząco zmniejszyć ryzyko wycieku danych.

Ostatecznie, wyciek danych w e-commerce to poważne zagrożenie, które może mieć długotrwałe skutki dla przedsiębiorstw. Zachowanie bezpieczeństwa danych to nie tylko obowiązek, ale i fundament zaufania klientów. Skontaktuj się z ekspertami ds. bezpieczeństwa, aby upewnić się, że Twój e-sklep jest odpowiednio chroniony.