Nietypowy atak na polską księgarnię internetową i dane jej klientów
Księgarnia XLM.pl, współpracująca ściśle z wydawnictwem Fronda, padła ofiarą niecodziennego ataku. Pierwsze zgłoszenie w tej sprawie otrzymaliśmy wczoraj przed godz. 23, do teraz skontaktowało się z nami kilkunastu klientów tej księgarni.
Wszyscy dostali e-mail zatytułowany „Hacked”, wysłany z adresu [email protected] – spoofing możemy raczej wykluczyć, z nagłówków wynika, że wiadomości pochodziły z oryginalnego serwera pocztowego fronda.ceti.pl (62.121.130.138). Wygląda na to, że ktoś dostał się co najmniej do systemu mailingowego księgarni i wysłał do osób, które kiedykolwiek coś w niej zamawiały, e-mail o następującej treści:
xlm.pl is hacked
all user data, payment data, files are available for buying.
it will be given to the first payer only.
pay 1 bittcoin to this address:
3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ
some statistics:
total number of users: 36779
total orders: 87905
total payment: 11751632.77
Innymi słowy, atakujący zaoferował pozyskane dzięki włamaniu dane pierwszej osobie, która zdecyduje się przelać jednego bitcoina na adres: 3Kvh2B2yAKWsTXegUYnbVJYRrTxyhzmFXQ (do chwili publikacji tego tekstu nikt się nie skusił). W bazie mają znajdować się dane 36 779 klientów księgarni, którzy dokonali 87 905 transakcji na kwotę prawie 12 mln PLN. Na ile prawdziwe są te informacje, na razie nie wiemy. Strona księgarni przestała działać – widnieje na niej tylko enigmatyczny napis „Przerwa techniczna”.
Udało nam się skontaktować z księgarnią telefonicznie. Przedstawiciel XLM.pl, który odebrał telefon, poinformował, że incydent jest właśnie badany przez informatyków. Stwierdził, że nie może nam udzielić dokładnych informacji nt. skali ataku, dopóki informatycy nie przekażą mu stosownego raportu. Będziemy trzymać rękę na pulsie i zaktualizujemy ten artykuł, gdy dowiemy się więcej szczegółów.
Aktualizacja 2019-02-01 14:55
Zamiast komunikatu o pracach konserwacyjnych na stronie XLM.pl pojawiło się oświadczenie, z którego wynika, że atakujący faktycznie uzyskał dostęp do danych osobowych jej klientów. Informację o tej samej treści otrzymaliśmy od pracowników księgarni także za pośrednictwem Facebooka. Poniżej zamieszczamy najbardziej istotny fragment oświadczenia:
Dane osobowe, które mogły zostać wykradzione (jeśli zostały podane podczas składania zamówienia): adres e-mail, numer telefonu, adres doręczenia, dane firmy.
Bezzwłocznie po wykryciu naruszenia, dostęp został zablokowany.
Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych lub kontach bankowych. Nie zbieramy tych danych – są one przetwarzane przez zewnętrzne podmioty (PayU, PayPal, Bank Millenium).
Hasła do kont klientów nie były przechowywane w sposób jawny. Dodatkowo, wszystkie konta zostały zresetowane – należy na nowo ustawić hasło dostępu.
Wydawnictwo Fronda, będące administratorem danych, poinformowało o incydencie zarówno Policję, jak i UODO. Do czasu wyjaśnienia sprawy strona ma pozostać wyłączona.
Dziękujemy wszystkim Czytelnikom, którzy przysłali nam informacje o ataku.
Podobne wpisy
- Wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy
Wczoraj, kiedy patrzyłem już po otrzymaniu tego e-maila strona księgarni jeszcze działała – wyglądało wszystko normalnie.
A czemu mialo wygladac nienormalnie? Atakujacy ukradl dane, nie podmienil glownej strony.
A mógł podmienić. Dodałem info, bo w momencie powstania artykułu strona była już niedostępna
Ja nic nie otrzymałem – a kupowałem tam…. więc nie do wszystkich maile poszły!
teraz już napisali prace konserwacyjne :)
„W związku z pracami konserwacyjnymi, w dniu 1.02.2019 sklep jest nieczynny.”
To jak napisać coś w stylu:
to nie bug to feature
Całe szczęście, że przeczytałam ten artykuł — wyglądało to tak jakby księgarnia dalej działała „normalnie”. Maila nie dostałam, a szkoda, bo już by mnie zaalarmował o tym stanie.
Dziękuję za dodanie wpisu.
– Anetta […]
Wiadomość dotarła…. i co dalej? Trzeba się czegoś obawiać? Warto by dodać do tego wpisu tego rodzaju informację
tak, trzeba
jeżeli używałeś tego samego hasła co do XLM.pl w jakimkolwiek innym serwisie to jak najszybciej zmień wszędzie
oświadczenie że nie były przechowywane w sposób jawny nic dobrego nie znaczy, więcej dowiesz się tutaj https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/
Dzięki, ja jednak nie zakładałem tam żadnego konta. Kupiłem tylko dwukrotnie książki. Nie wyraziłem zgody na późniejsze, poza transakcją wykorzystywanie moich danych, ale jak widać nie ma to większego znaczenia. Dane jakimś cudem pozostały. Moje pytanie bardziej dotyczyło potencjalnego sposobu wykorzystywania danych…z której strony się spodziewać niespodzianki…?
A może warto to, ze swojej strony-„poszkodowanego”, też zgłosić do jakiegoś urzędu?
najbardziej prawdopodobnym scenariuszem jest wykorzystanie przez hakera hasła XLM.pl aby dostać się do skrzynki email itp.
numer telefonu może być wykorzystany do wysłania smsa np. niby z prośbą o dopłatę złotówki, a tak naprawdę linkiem do strony wyłudzającej hasło do banku
inne dane (adres doręczenia i dane firmy) raczej nie są wrażliwe
w sumie…. starsi będą pamiętać, że kiedyś było coś takiego jak książka telefoniczna i to nawet z podaniem adresu i jakoś wielkich przekrętów z tego powodu nie było.
a to wysyłanie smsa z wykradzionego nr telefonu to chyba zbyt wiele wysiłku w stosunku do potencjalnego „uzysku”. Więc będę spał spokojnie.
ekipa Hossa w Niemczech i Austrii zaczynała właśnie od książek telefonicznych ;)