Nietypowy atak na polską księgarnię internetową i dane jej klientów

dodał 1 lutego 2019 o 09:49 w kategorii Prywatność, Włamania, Wpadki  z tagami:
Nietypowy atak na polską księgarnię internetową i dane jej klientów

Księgarnia XLM.pl, współpracująca ściśle z wydawnictwem Fronda, padła ofiarą niecodziennego ataku. Pierwsze zgłoszenie w tej sprawie otrzymaliśmy wczoraj przed godz. 23, do teraz skontaktowało się z nami kilkunastu klientów tej księgarni.

Wszyscy dostali e-mail zatytułowany „Hacked”, wysłany z adresu info@xlm.pl – spoofing możemy raczej wykluczyć, z nagłówków wynika, że wiadomości pochodziły z oryginalnego serwera pocztowego fronda.ceti.pl (62.121.130.138). Wygląda na to, że ktoś dostał się co najmniej do systemu mailingowego księgarni i wysłał do osób, które kiedykolwiek coś w niej zamawiały, e-mail o następującej treści:

xlm.pl is hacked

all user data, payment data, files are available for buying.
it will be given to the first payer only.
pay 1 bittcoin to this address:
3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ
some statistics:
total number of users: 36779
total orders: 87905
total payment: 11751632.77

Innymi słowy, atakujący zaoferował pozyskane dzięki włamaniu dane pierwszej osobie, która zdecyduje się przelać jednego bitcoina na adres: 3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ (do chwili publikacji tego tekstu nikt się nie skusił). W bazie mają znajdować się dane 36 779 klientów księgarni, którzy dokonali 87 905 transakcji na kwotę prawie 12 mln PLN. Na ile prawdziwe są te informacje, na razie nie wiemy. Strona księgarni przestała działać – widnieje na niej tylko enigmatyczny napis „Przerwa techniczna”.

Udało nam się skontaktować z księgarnią telefonicznie. Przedstawiciel XLM.pl, który odebrał telefon, poinformował, że incydent jest właśnie badany przez informatyków. Stwierdził, że nie może nam udzielić dokładnych informacji nt. skali ataku, dopóki informatycy nie przekażą mu stosownego raportu. Będziemy trzymać rękę na pulsie i zaktualizujemy ten artykuł, gdy dowiemy się więcej szczegółów.

Aktualizacja 2019-02-01 14:55

Zamiast komunikatu o pracach konserwacyjnych na stronie XLM.pl pojawiło się oświadczenie, z którego wynika, że atakujący faktycznie uzyskał dostęp do danych osobowych jej klientów. Informację o tej samej treści otrzymaliśmy od pracowników księgarni także za pośrednictwem Facebooka. Poniżej zamieszczamy najbardziej istotny fragment oświadczenia:

Dane osobowe, które mogły zostać wykradzione (jeśli zostały podane podczas składania zamówienia): adres e-mail, numer telefonu, adres doręczenia, dane firmy.

Bezzwłocznie po wykryciu naruszenia, dostęp został zablokowany.

Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych lub kontach bankowych. Nie zbieramy tych danych – są one przetwarzane przez zewnętrzne podmioty (PayU, PayPal, Bank Millenium).

Hasła do kont klientów nie były przechowywane w sposób jawny. Dodatkowo, wszystkie konta zostały zresetowane – należy na nowo ustawić hasło dostępu.

Wydawnictwo Fronda, będące administratorem danych, poinformowało o incydencie zarówno Policję, jak i UODO. Do czasu wyjaśnienia sprawy strona ma pozostać wyłączona.

Dziękujemy wszystkim Czytelnikom, którzy przysłali nam informacje o ataku.