Atak hakerski na dane klientów Super-Pharm
Super-Pharm, sieć sklepów drogeryjno-aptecznych posiadająca kilkadziesiąt punktów zlokalizowanych we wszystkich największych miastach w Polsce, w rozesłanym do klientów mailu informuje o ataku hakerskim na dane osób, które robiły zakupy w jej sklepie internetowym. Mowa nie tylko o zarejestrowanych użytkownikach, ale też o klientach nieposiadających konta.
„Z przykrością musimy poinformować o naruszeniu ochrony danych dotyczącym serwisu Super-Pharm, służącego do sprzedaży internetowej produktów drogeryjnych i aptecznych. Przyczyną naruszenia był atak hakerski wykorzystujący lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę” – przekazano w oficjalnym komunikacie, dalej rozwijając:
„21 października 2024 roku wspólnie z dostawcą wykryliśmy nieautoryzowany dostęp do bazy danych klientów naszego serwisu, w tym użytkowników nieposiadających konta w naszym serwisie (…). W bazie znajdowały się dane dotyczące składanych zamówień/rezerwacji, np. imię, nazwisko, adres e-mail, adres dostawy czy numer telefonu. Nie ma dowodów na pobranie tych danych przez osoby nieautoryzowane”. Jak podkreślono, naruszenie nie dotyczyło ani danych dotyczących uczestnictwa w Klubie Super-Pharm, ani tych do logowania do aplikacji mobilnej.
Super-Pharm z pilnym komunikatem dla klientów
Jak informuje Super-Pharm, natychmiast po wykryciu nieautoryzowanego dostępu podjęto działania mające na celu ochronę danych oraz ograniczenie skutków naruszenia. Incydent zgłoszono także Prezesowi Urzędu Ochrony Danych Osobowych, policji oraz zespołowi CERT Polska. Jakie mogą być jego konsekwencje?
„Nieuprawniony dostęp do państwa danych znajdujących się w bazie takich jak np. dane dotyczące zamówień/rezerwacji internetowych może prowadzić do konsekwencji dla państwa prywatności, takich jak ryzyko ujawnienia tych danych, wykorzystanie państwa prywatnych informacji związanych z zamówieniem czy szkody wizerunkowe. Ponadto, zwracamy państwa uwagę na następujące potencjalne zagrożenia związane z wykorzystaniem państwa danych kontaktowych (np. adres e-mail, numer telefonu, adres dostawy)”, takie jak spam, phishing i wykorzystanie adresu e-mail. Co można zrobić, by chronić się przed skutkami ataku? W komunikacie zarekomendowano:
- dokładne sprawdzanie nadawców wiadomości kierowanych do państwa,
- zachowanie szczególnej ostrożności w przypadku otrzymania z nieznanych źródeł podejrzanych wiadomości, zwłaszcza tych zawierających linki lub prośby o podanie dodatkowych danych,
- unikanie podawania swoich danych osobowych w odpowiedzi na podejrzane wiadomości (np. e-mail),
- nieklikanie w linki i załączniki w wiadomościach pochodzących od nieznanych nadawców,
- w razie zauważenia podejrzanych aktywności – niezwłoczne zgłoszenie incydentu do odpowiednich organów (policja, Urząd Ochrony Danych Osobowych).
W razie dalszych pytań sieć umożliwia kontakt poprzez Biuro Obsługi Klienta (https://www.superpharm.pl/kontakt/) lub bezpośrednio z p. Krzysztofem Pawelcem, jej inspektorem ochrony danych (ochronadanych@superpharm.pl)
Przepraszamy za wszelkie niedogodności związane z incydentem i zapewniamy, że traktujemy tę sprawę z najwyższą powagą. Kwestia bezpieczeństwa jest dla nas priorytetem, dlatego natychmiast podjęliśmy działania mające na celu zablokowanie nieautoryzowanego dostępu do systemu i wyeliminowanie źródła problemu – zapewniono.