szukaj

01.02.2019 | 09:49

avatar

Anna Wasilewska-Śpioch

Nietypowy atak na polską księgarnię internetową i dane jej klientów

Księgarnia XLM.pl, współpracująca ściśle z wydawnictwem Fronda, padła ofiarą niecodziennego ataku. Pierwsze zgłoszenie w tej sprawie otrzymaliśmy wczoraj przed godz. 23, do teraz skontaktowało się z nami kilkunastu klientów tej księgarni.

Wszyscy dostali e-mail zatytułowany „Hacked”, wysłany z adresu [email protected] – spoofing możemy raczej wykluczyć, z nagłówków wynika, że wiadomości pochodziły z oryginalnego serwera pocztowego fronda.ceti.pl (62.121.130.138). Wygląda na to, że ktoś dostał się co najmniej do systemu mailingowego księgarni i wysłał do osób, które kiedykolwiek coś w niej zamawiały, e-mail o następującej treści:

xlm.pl is hacked

all user data, payment data, files are available for buying.
it will be given to the first payer only.
pay 1 bittcoin to this address:
3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ
some statistics:
total number of users: 36779
total orders: 87905
total payment: 11751632.77

Innymi słowy, atakujący zaoferował pozyskane dzięki włamaniu dane pierwszej osobie, która zdecyduje się przelać jednego bitcoina na adres: 3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ (do chwili publikacji tego tekstu nikt się nie skusił). W bazie mają znajdować się dane 36 779 klientów księgarni, którzy dokonali 87 905 transakcji na kwotę prawie 12 mln PLN. Na ile prawdziwe są te informacje, na razie nie wiemy. Strona księgarni przestała działać – widnieje na niej tylko enigmatyczny napis „Przerwa techniczna”.

Udało nam się skontaktować z księgarnią telefonicznie. Przedstawiciel XLM.pl, który odebrał telefon, poinformował, że incydent jest właśnie badany przez informatyków. Stwierdził, że nie może nam udzielić dokładnych informacji nt. skali ataku, dopóki informatycy nie przekażą mu stosownego raportu. Będziemy trzymać rękę na pulsie i zaktualizujemy ten artykuł, gdy dowiemy się więcej szczegółów.

Aktualizacja 2019-02-01 14:55

Zamiast komunikatu o pracach konserwacyjnych na stronie XLM.pl pojawiło się oświadczenie, z którego wynika, że atakujący faktycznie uzyskał dostęp do danych osobowych jej klientów. Informację o tej samej treści otrzymaliśmy od pracowników księgarni także za pośrednictwem Facebooka. Poniżej zamieszczamy najbardziej istotny fragment oświadczenia:

Dane osobowe, które mogły zostać wykradzione (jeśli zostały podane podczas składania zamówienia): adres e-mail, numer telefonu, adres doręczenia, dane firmy.

Bezzwłocznie po wykryciu naruszenia, dostęp został zablokowany.

Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych lub kontach bankowych. Nie zbieramy tych danych – są one przetwarzane przez zewnętrzne podmioty (PayU, PayPal, Bank Millenium).

Hasła do kont klientów nie były przechowywane w sposób jawny. Dodatkowo, wszystkie konta zostały zresetowane – należy na nowo ustawić hasło dostępu.

Wydawnictwo Fronda, będące administratorem danych, poinformowało o incydencie zarówno Policję, jak i UODO. Do czasu wyjaśnienia sprawy strona ma pozostać wyłączona.

Dziękujemy wszystkim Czytelnikom, którzy przysłali nam informacje o ataku.

Powrót

Komentarze

  • avatar
    2019.02.01 10:04 Bartosz

    Wczoraj, kiedy patrzyłem już po otrzymaniu tego e-maila strona księgarni jeszcze działała – wyglądało wszystko normalnie.

    Odpowiedz
    • avatar
      2019.02.01 17:28 Wujek Pawel

      A czemu mialo wygladac nienormalnie? Atakujacy ukradl dane, nie podmienil glownej strony.

      Odpowiedz
      • avatar
        2019.02.04 16:18 Bartosz

        A mógł podmienić. Dodałem info, bo w momencie powstania artykułu strona była już niedostępna

        Odpowiedz
  • avatar
    2019.02.01 10:53 Grzegorz

    Ja nic nie otrzymałem – a kupowałem tam…. więc nie do wszystkich maile poszły!

    Odpowiedz
  • avatar
    2019.02.01 10:55 [email protected]

    teraz już napisali prace konserwacyjne :)
    „W związku z pracami konserwacyjnymi, w dniu 1.02.2019 sklep jest nieczynny.”
    To jak napisać coś w stylu:
    to nie bug to feature

    Odpowiedz
  • avatar
    2019.02.01 15:30 Anetta z Modny Blog

    Całe szczęście, że przeczytałam ten artykuł — wyglądało to tak jakby księgarnia dalej działała „normalnie”. Maila nie dostałam, a szkoda, bo już by mnie zaalarmował o tym stanie.
    Dziękuję za dodanie wpisu.
    – Anetta […]

    Odpowiedz
  • avatar
    2019.02.03 22:10 Grzegorz

    Wiadomość dotarła…. i co dalej? Trzeba się czegoś obawiać? Warto by dodać do tego wpisu tego rodzaju informację

    Odpowiedz
    • avatar
      2019.02.04 00:54 sha

      tak, trzeba
      jeżeli używałeś tego samego hasła co do XLM.pl w jakimkolwiek innym serwisie to jak najszybciej zmień wszędzie
      oświadczenie że nie były przechowywane w sposób jawny nic dobrego nie znaczy, więcej dowiesz się tutaj https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/

      Odpowiedz
      • avatar
        2019.02.04 21:06 Grzegorz

        Dzięki, ja jednak nie zakładałem tam żadnego konta. Kupiłem tylko dwukrotnie książki. Nie wyraziłem zgody na późniejsze, poza transakcją wykorzystywanie moich danych, ale jak widać nie ma to większego znaczenia. Dane jakimś cudem pozostały. Moje pytanie bardziej dotyczyło potencjalnego sposobu wykorzystywania danych…z której strony się spodziewać niespodzianki…?
        A może warto to, ze swojej strony-„poszkodowanego”, też zgłosić do jakiegoś urzędu?

        Odpowiedz
        • avatar
          2019.02.04 21:40 bcrypt

          najbardziej prawdopodobnym scenariuszem jest wykorzystanie przez hakera hasła XLM.pl aby dostać się do skrzynki email itp.
          numer telefonu może być wykorzystany do wysłania smsa np. niby z prośbą o dopłatę złotówki, a tak naprawdę linkiem do strony wyłudzającej hasło do banku
          inne dane (adres doręczenia i dane firmy) raczej nie są wrażliwe

          Odpowiedz
          • avatar
            2019.02.06 22:31 Grzegorz

            w sumie…. starsi będą pamiętać, że kiedyś było coś takiego jak książka telefoniczna i to nawet z podaniem adresu i jakoś wielkich przekrętów z tego powodu nie było.
            a to wysyłanie smsa z wykradzionego nr telefonu to chyba zbyt wiele wysiłku w stosunku do potencjalnego „uzysku”. Więc będę spał spokojnie.

          • avatar
            2019.02.07 00:54 oszustwo na wnuczka

            ekipa Hossa w Niemczech i Austrii zaczynała właśnie od książek telefonicznych ;)

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nietypowy atak na polską księgarnię internetową i dane jej klientów

Komentarze