Logowanie

 

Niedawny cyberatak na sieć Super-Pharm, który doprowadził do wycieku danych klientów, jest jednym z wielu incydentów, które unaoczniają, jak istotna staje się ochrona danych osobowych w erze cyfrowej. Przypadek ten, w którym wykorzystano lukę w zewnętrznym systemie Adobe Commerce (Magento), wskazuje na konieczność bieżącego doskonalenia zabezpieczeń i wdrażania najlepszych praktyk, zarówno przez firmy, jak i przez samych użytkowników. W Centrum Audytu Bezpieczeństwa analizujemy ten przypadek, aby wskazać, jakie działania można podjąć, by minimalizować ryzyko przyszłych incydentów oraz zapewnić efektywną reakcję w sytuacjach kryzysowych.

Przebieg ataku i zagrożenie dla użytkowników

Według oficjalnych informacji, 21 października Super-Pharm, wspólnie ze swoim dostawcą, odkryło nieautoryzowany dostęp do bazy danych klientów sklepu internetowego. Przeprowadzona analiza wykazała, że atakujący uzyskali dostęp do systemu poprzez lukę w oprogramowaniu Adobe Commerce, używanym do zarządzania sprzedażą online. W wyniku tego ataku mogły wyciec dane obejmujące takie informacje jak imię i nazwisko, adres e-mail, adres dostawy oraz numer telefonu klientów, w tym również osób, które realizowały zakupy bez rejestrowania się w serwisie Super-Pharm.

Warto podkreślić, że dane dotyczące logowania do aplikacji mobilnej oraz członkostwa w Klubie Super-Pharm pozostały bezpieczne. Fakt ten dowodzi znaczenia dobrze zorganizowanej segmentacji danych – oddzielenie danych najbardziej wrażliwych (jak hasła) od informacji kontaktowych i transakcyjnych ogranicza możliwe skutki ataku. Niemniej jednak, ujawnione dane kontaktowe klientów niosą ze sobą realne ryzyko. Osoby, które znalazły się w bazie, mogą doświadczyć między innymi wzmożonego spamu, prób wyłudzenia danych poprzez phishing, a także ryzyka zakładania kont w ich imieniu przez nieuprawnione osoby.

Modelowy komunikat i jego kluczowe elementy

Jako specjaliści ds. bezpieczeństwa, doceniamy wagę szybkiego i transparentnego informowania klientów o incydentach tego typu. W tej sytuacji, komunikat Super-Pharm jest pozytywnym przykładem, ponieważ zawiera kluczowe elementy:

  1. Przejrzystość informacji, zwięzły opis sytuacji, obejmujący wyjaśnienie przyczyny naruszenia (atak wykorzystujący lukę w zewnętrznym systemie) oraz charakteru naruszonych danych.
  2. Informację o podjętych środkach zaradczych. W komunikacie wyraźnie wskazano kroki, jakie podjęto natychmiast po wykryciu incydentu, w tym zablokowanie dostępu, usunięcie luki bezpieczeństwa i wdrożenie dodatkowych środków ochronnych.
  3. Przekazano informacje o zgłoszeniu incydentu do Prezesa Urzędu Ochrony Danych Osobowych, policji i CERT Polska, co wskazuje na odpowiedzialne podejście firmy do wycieku danych i transparentność współpracy z instytucjami.
  4. Zrozumiałe ostrzeżenie dla klientów, w komunikacie Super-Pharm wskazuje na konkretne ryzyka, jakie mogą wystąpić, takie jak phishing, niechciane wiadomości e-mail czy próby wykorzystania adresów do zakładania kont.

Jasność i przejrzystość komunikatu, zwłaszcza w trudnych sytuacjach, nie tylko zwiększa zaufanie klientów, ale także daje im możliwość podjęcia skutecznych działań ochronnych.

Rekomendacje dla użytkowników – jak zabezpieczyć się przed skutkami naruszenia?

Aby przeciwdziałać potencjalnym negatywnym skutkom cyberataku, użytkownicy powinni podjąć szereg kroków, które pomogą im zminimalizować ryzyko dalszego wykorzystania ich danych. W Centrum Audytu Bezpieczeństwa zalecamy:

  1. Ostrożność wobec podejrzanych wiadomości. Należy unikać otwierania wiadomości e-mail od nieznanych nadawców, szczególnie tych, które zawierają linki lub prośby o podanie dodatkowych informacji. Hakerzy często wykorzystują wykradzione dane, aby wysyłać fałszywe wiadomości e-mail w celu wyłudzenia kolejnych danych (tzw. phishing). Jeśli wiadomość wydaje się podejrzana – należy ją zgłosić odpowiednim służbom lub CERT Polska.
  2. Zwrócenie uwagi na personalizację wiadomości. Atakujący, posiadając podstawowe dane klientów, mogą wysyłać wiadomości z bardziej personalizowanymi treściami, które będą wydawały się bardziej autentyczne. Zalecamy każdorazowe sprawdzanie autentyczności wiadomości i unikanie reagowania na e-maile o niejasnym pochodzeniu.
  3. Regularną zmianę haseł. Mimo, że w tym incydencie hasła nie zostały ujawnione, warto pamiętać o regularnej ich zmianie w różnych usługach internetowych. Ważne jest, aby stosować unikalne i mocne hasła dla każdej platformy, szczególnie dla kont związanych z bankowością i pocztą elektroniczną oraz rozważyć wykorzystanie menedżera haseł.
  4. Uwaga na SMS-y i połączenia telefoniczne. Podobnie jak w przypadku e-maili, atakujący mogą próbować wyłudzać dane poprzez SMS-y lub telefon. Należy unikać przekazywania danych osobowych przez telefon, szczególnie gdy rozmówca nie jest znany, a wiadomości wydają się podejrzane. Podejrzaną wiadomość należy przesłać do CERT Polska na numer – 8080.
  5. Monitorowanie aktywności konta bankowego i karty kredytowej. W przypadku wycieku danych osobowych należy regularnie je monitorować w celu wykrycia nieautoryzowanych transakcji. Jeżeli zaobserwujemy jakiekolwiek podejrzane działania – powinniśmy niezwłocznie zgłosić je do banku.
  6. Włączenie dwuetapowej weryfikacji (2FA). Warto skorzystać z możliwości wdrożenia dodatkowego zabezpieczenia w postaci dwuetapowej weryfikacji, która stanowi dodatkową barierę przed nieautoryzowanym dostępem do konta. Możliwość taką oferują dostawcy poczty elektronicznej, bankowość elektroniczna czy media społecznościowe.
  7. Zachowanie dowodów. Warto przechowywać wszystkie podejrzane wiadomości, które mogą być później pomocne w ustaleniu ścieżki ataku lub wykorzystane jako dowody podczas zgłaszania sprawy do odpowiednich organów.

Audyt bezpieczeństwa jako fundament ochrony danych

Doświadczenie Super-Pharm przypomina o konieczności regularnych audytów bezpieczeństwa, które pozwalają identyfikować słabe punkty systemu i skutecznie zarządzać ryzykiem. W Centrum Audytu Bezpieczeństwa jesteśmy przekonani, że proaktywne podejście do ochrony danych to podstawa budowania zaufania i minimalizowania ryzyka. Organizacje, które przeprowadzają audyty i wdrażają systemy zarządzania bezpieczeństwem informacji, lepiej radzą sobie z incydentami, a ich klienci mają większe poczucie bezpieczeństwa.

Zapraszamy wszystkie firmy, które chcą uporządkować procesy ochrony danych i bezpieczeństwa informacji, do skorzystania z naszych kompleksowych usług audytorskich. Zadbajmy wspólnie o bezpieczeństwo danych i unikajmy scenariuszy, które mogłyby narazić organizację na poważne konsekwencje oraz utratę zaufania klientów.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwa, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!