Niedawny cyberatak na sieć Super-Pharm, który doprowadził do wycieku danych klientów, jest jednym z wielu incydentów, które unaoczniają, jak istotna staje się ochrona danych osobowych w erze cyfrowej. Przypadek ten, w którym wykorzystano lukę w zewnętrznym systemie Adobe Commerce (Magento), wskazuje na konieczność bieżącego doskonalenia zabezpieczeń i wdrażania najlepszych praktyk, zarówno przez firmy, jak i przez samych użytkowników. W Centrum Audytu Bezpieczeństwa analizujemy ten przypadek, aby wskazać, jakie działania można podjąć, by minimalizować ryzyko przyszłych incydentów oraz zapewnić efektywną reakcję w sytuacjach kryzysowych.
Przebieg ataku i zagrożenie dla użytkowników
Według oficjalnych informacji, 21 października Super-Pharm, wspólnie ze swoim dostawcą, odkryło nieautoryzowany dostęp do bazy danych klientów sklepu internetowego. Przeprowadzona analiza wykazała, że atakujący uzyskali dostęp do systemu poprzez lukę w oprogramowaniu Adobe Commerce, używanym do zarządzania sprzedażą online. W wyniku tego ataku mogły wyciec dane obejmujące takie informacje jak imię i nazwisko, adres e-mail, adres dostawy oraz numer telefonu klientów, w tym również osób, które realizowały zakupy bez rejestrowania się w serwisie Super-Pharm.
Warto podkreślić, że dane dotyczące logowania do aplikacji mobilnej oraz członkostwa w Klubie Super-Pharm pozostały bezpieczne. Fakt ten dowodzi znaczenia dobrze zorganizowanej segmentacji danych – oddzielenie danych najbardziej wrażliwych (jak hasła) od informacji kontaktowych i transakcyjnych ogranicza możliwe skutki ataku. Niemniej jednak, ujawnione dane kontaktowe klientów niosą ze sobą realne ryzyko. Osoby, które znalazły się w bazie, mogą doświadczyć między innymi wzmożonego spamu, prób wyłudzenia danych poprzez phishing, a także ryzyka zakładania kont w ich imieniu przez nieuprawnione osoby.
Modelowy komunikat i jego kluczowe elementy
Jako specjaliści ds. bezpieczeństwa, doceniamy wagę szybkiego i transparentnego informowania klientów o incydentach tego typu. W tej sytuacji, komunikat Super-Pharm jest pozytywnym przykładem, ponieważ zawiera kluczowe elementy:
- Przejrzystość informacji, zwięzły opis sytuacji, obejmujący wyjaśnienie przyczyny naruszenia (atak wykorzystujący lukę w zewnętrznym systemie) oraz charakteru naruszonych danych.
- Informację o podjętych środkach zaradczych. W komunikacie wyraźnie wskazano kroki, jakie podjęto natychmiast po wykryciu incydentu, w tym zablokowanie dostępu, usunięcie luki bezpieczeństwa i wdrożenie dodatkowych środków ochronnych.
- Przekazano informacje o zgłoszeniu incydentu do Prezesa Urzędu Ochrony Danych Osobowych, policji i CERT Polska, co wskazuje na odpowiedzialne podejście firmy do wycieku danych i transparentność współpracy z instytucjami.
- Zrozumiałe ostrzeżenie dla klientów, w komunikacie Super-Pharm wskazuje na konkretne ryzyka, jakie mogą wystąpić, takie jak phishing, niechciane wiadomości e-mail czy próby wykorzystania adresów do zakładania kont.
Jasność i przejrzystość komunikatu, zwłaszcza w trudnych sytuacjach, nie tylko zwiększa zaufanie klientów, ale także daje im możliwość podjęcia skutecznych działań ochronnych.
Rekomendacje dla użytkowników – jak zabezpieczyć się przed skutkami naruszenia?
Aby przeciwdziałać potencjalnym negatywnym skutkom cyberataku, użytkownicy powinni podjąć szereg kroków, które pomogą im zminimalizować ryzyko dalszego wykorzystania ich danych. W Centrum Audytu Bezpieczeństwa zalecamy:
- Ostrożność wobec podejrzanych wiadomości. Należy unikać otwierania wiadomości e-mail od nieznanych nadawców, szczególnie tych, które zawierają linki lub prośby o podanie dodatkowych informacji. Hakerzy często wykorzystują wykradzione dane, aby wysyłać fałszywe wiadomości e-mail w celu wyłudzenia kolejnych danych (tzw. phishing). Jeśli wiadomość wydaje się podejrzana – należy ją zgłosić odpowiednim służbom lub CERT Polska.
- Zwrócenie uwagi na personalizację wiadomości. Atakujący, posiadając podstawowe dane klientów, mogą wysyłać wiadomości z bardziej personalizowanymi treściami, które będą wydawały się bardziej autentyczne. Zalecamy każdorazowe sprawdzanie autentyczności wiadomości i unikanie reagowania na e-maile o niejasnym pochodzeniu.
- Regularną zmianę haseł. Mimo, że w tym incydencie hasła nie zostały ujawnione, warto pamiętać o regularnej ich zmianie w różnych usługach internetowych. Ważne jest, aby stosować unikalne i mocne hasła dla każdej platformy, szczególnie dla kont związanych z bankowością i pocztą elektroniczną oraz rozważyć wykorzystanie menedżera haseł.
- Uwaga na SMS-y i połączenia telefoniczne. Podobnie jak w przypadku e-maili, atakujący mogą próbować wyłudzać dane poprzez SMS-y lub telefon. Należy unikać przekazywania danych osobowych przez telefon, szczególnie gdy rozmówca nie jest znany, a wiadomości wydają się podejrzane. Podejrzaną wiadomość należy przesłać do CERT Polska na numer – 8080.
- Monitorowanie aktywności konta bankowego i karty kredytowej. W przypadku wycieku danych osobowych należy regularnie je monitorować w celu wykrycia nieautoryzowanych transakcji. Jeżeli zaobserwujemy jakiekolwiek podejrzane działania – powinniśmy niezwłocznie zgłosić je do banku.
- Włączenie dwuetapowej weryfikacji (2FA). Warto skorzystać z możliwości wdrożenia dodatkowego zabezpieczenia w postaci dwuetapowej weryfikacji, która stanowi dodatkową barierę przed nieautoryzowanym dostępem do konta. Możliwość taką oferują dostawcy poczty elektronicznej, bankowość elektroniczna czy media społecznościowe.
- Zachowanie dowodów. Warto przechowywać wszystkie podejrzane wiadomości, które mogą być później pomocne w ustaleniu ścieżki ataku lub wykorzystane jako dowody podczas zgłaszania sprawy do odpowiednich organów.
Audyt bezpieczeństwa jako fundament ochrony danych
Doświadczenie Super-Pharm przypomina o konieczności regularnych audytów bezpieczeństwa, które pozwalają identyfikować słabe punkty systemu i skutecznie zarządzać ryzykiem. W Centrum Audytu Bezpieczeństwa jesteśmy przekonani, że proaktywne podejście do ochrony danych to podstawa budowania zaufania i minimalizowania ryzyka. Organizacje, które przeprowadzają audyty i wdrażają systemy zarządzania bezpieczeństwem informacji, lepiej radzą sobie z incydentami, a ich klienci mają większe poczucie bezpieczeństwa.
Zapraszamy wszystkie firmy, które chcą uporządkować procesy ochrony danych i bezpieczeństwa informacji, do skorzystania z naszych kompleksowych usług audytorskich. Zadbajmy wspólnie o bezpieczeństwo danych i unikajmy scenariuszy, które mogłyby narazić organizację na poważne konsekwencje oraz utratę zaufania klientów.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwa, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!