Na jednym z forów hakerskich upubliczniono ogromną bazę danych, która według analiz zawiera wrażliwe informacje o około 130 tysiącach klientów. Choć firmy zareagowały szybko i transparentnie, skala wycieku – obejmująca blisko 9 milionów linii kodu – poraża.
Co wyciekło i jak do tego doszło?
Do wycieku doszło w sklepach vegehome.pl oraz polskiekoldry.pl. Analiza pliku udostępnionego przez hakera ujawnia dość szczegółowy obraz bazy klientów obu serwisów. W zbiorze znalazło się ponad 146 tysięcy rekordów, z czego unikalnych adresów e-mail doliczono się ponad 132 tysiące. Co istotne, około 38% tych adresów pochodziło z domeny allegromail.pl, co paradoksalnie jest dobrą wiadomością – klienci kupujący przez Allegro ukryli w ten sposób swoje prywatne skrzynki, a wyciek w ich przypadku ograniczył się głównie do imienia i nazwiska.
Dla pozostałych użytkowników sytuacja jest poważniejsza. W upublicznionym pliku znalazły się:
- Imiona i nazwiska wraz z dokładnymi adresami dostaw (liczba wystąpień samej Warszawy przekroczyła 15 tysięcy);
- Numery telefonów oraz daty złożenia zamówień;
- Hasła w formie skrótów (hashy).
W kwestii haseł mamy jednak pewien powód do umiarkowanego spokoju. Sklepy stosowały algorytm bcrypt, który jest znacznie trudniejszy do złamania niż starsze rozwiązania. Oznacza to, że odzyskanie haseł w formie tekstowej zajmie hakerom bardzo dużo czasu, o ile nie były one banalnie proste.
Czytaj też: Google na Windowsie. AI Mode wychodzi z przeglądarki i ląduje na Twoim pulpicie
Jak doszło do ataku? Przedstawiciele sklepów wyjaśnili, że wbrew pierwszym podejrzeniom, przyczyną nie była luka w popularnym systemie PrestaShop. Słabym ogniwem okazało się zewnętrzne narzędzie administracyjne w infrastrukturze testowo-rozwojowej. To klasyczny scenariusz, w którym luka w systemie używanym przez programistów “na boku” otwiera drzwi do głównej bazy danych. Firmy potwierdziły, że luka została już zamknięta, a wszystkie hasła użytkowników zresetowane prewencyjnie.
Czytaj też: Meta rzuca wyzwanie gigantom i stawia na osobistą superinteligencję
Reakcja sklepów, która nastąpiła w ciągu kilku godzin od powiadomienia, zasługuje na pochwałę, jednak dane już krążą w sieci. Co teraz? Jeśli korzystaliście z tych serwisów, przede wszystkim zmieńcie hasła we wszystkich innych miejscach, gdzie używaliście tej samej kombinacji (co, przypominamy, jest błędem samym w sobie).
Czytaj też: Nie potrzebujesz Premium, by blokować reklamy na YouTube Live. Wystarczy siła społeczności
Warto również odwiedzić rządowy portal Bezpieczne Dane, gdzie informacje z tego wycieku zostały już zintegrowane, co pozwala na szybką weryfikację swojego konta. Niezależnie od sytuacji, dobrym nawykiem w 2026 roku jest zastrzeżenie numeru PESEL oraz włączenie dwuetapowej weryfikacji (2FA) wszędzie tam, gdzie jest to możliwe. Pamiętajcie też o wzmożonej czujności na podejrzane telefony i maile – po takim wycieku fala phishingu jest niemal gwarantowana.
Źródło: CyberDefence24