Spółka Cyfrowe Sp. z o.o. – właściciel popularnego sklepu internetowego audio-video Cyfrowe.pl -poinformowała, że doszło do wycieku danych osobowych jej klientów. Sprawa może być poważna. Spółka opublikowała bowiem na stronie internetowej sklepu oficjalne oświadczenie, w którym zaznaczyła, że wyciek może dotyczyć wszystkich jej klientów. Nie wiadomo, jak dużą bazę danych posiada sklep, jednak z uwagi na to, że spółka funkcjonuje od 2007 roku, można założyć, że wyciek dotyczy ogromnej liczby osób. Jednak spółka nie podała z jakiego dokładnie okresu dane osobowe zostały pozyskane przez osoby trzecie.
Wyciek danych
W wyniku tego zdarzenia osoby trzecie weszły w posiadanie danych osobowych klientów spółki co najmniej w zakresie loginów (adresów e-mail) oraz zaszyfrowanych haseł. Sklep internetowy zaznacza, że w niepowołane ręce mogły trafić także inne dane osobowe klientów, w tym ich imiona, nazwiska, numery telefonów, czy adresy dostawy zamówień. Spółka uspokaja, że nieuprawniony dostęp do danych nie dotyczy informacji o kartach płatniczych, loginach do banków czy też informacji z wniosków ratalnych, gdyż nie gromadzi ona takich danych osobowych.
Działania naprawcze
Właściciel sklepu internetowego zapewnia, że w celu zminimalizowania negatywnych skutków wycieku danych, wszystkie konta użytkowników zostały zablokowane. W celu odzyskania do nich dostępu, każdy klient będzie musiał przejść procedurę ustanawiania nowego hasła, która ma zapewnić wyższy poziom bezpieczeństwa. Spółka poinformowała również, że niezwłocznie przystąpiła do zweryfikowania bezpieczeństwa systemu sklepu Cyfrowe.pl i powiązanej z nim infrastruktury informatycznej. Działania te mają na celu także zabezpieczenie dowodów bezprawnych działań osób trzecich.
Niezależnie od podjętych działań, spółka ostrzega klientów, że część haseł, które wyciekły mogło zostać odszyfrowane metodą słownikową (dotyczy to prostych haseł, typu „adam1”). Taka sytuacja zwiększa ryzyko np. dostępu do kont założonych przez klientów na innych portalach. Przestrzega ona także o możliwości otrzymywania niechcianych wiadomości e-mail (spam), które zawierać mogą np. groźne oprogramowanie.
Jesteśmy bardzo ciekawi, czy sprawą zainteresuje się Urząd Ochrony Danych Osobowych, a jeżeli tak, czy zdecyduje się na ukaranie właściciela Cyfrowe.pl. Przypominamy, że zgodnie z RODO, organ nadzorczy w razie stwierdzenia naruszenia RODO może nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Źródło:
