Atak grupy Funksec na sklepbaterie.pl
Do poważnego wycieku danych doszło pod koniec 2024 roku. Za cyberatak na sklep internetowy sklepbaterie.pl odpowiedzialna jest grupa hakerska Funksec, która już 19 grudnia dodała tę witrynę do swojej listy ofiar. Cyberprzestępcy zażądali okupu w wysokości 10 milionów dolarów, grożąc upublicznieniem danych klientów sklepu.
Dla potwierdzenia swoich działań, Funksec udostępnił próbki wykradzionych plików oraz zrzuty ekranów przedstawiające strukturę katalogów sklepu. Termin zapłaty okupu został wyznaczony na 1 stycznia 2025 roku, a dwa dni później hakerzy opublikowali ostrzeżenie o planowanej publikacji 28 GB danych, jeśli ich żądania nie zostaną spełnione. Jednak zamiast pełnej bazy, 6 stycznia udostępniono link do znacznie mniejszego archiwum o wielkości 32 MB.
Opublikowane przez Funksec archiwum zawierało 69 plików w formacie.csv, które po rozpakowaniu zajmowały łącznie 112 MB. Kluczowym plikiem w tym zbiorze jest clients.csv, który zawiera dane osobowe klientów sklepu. Plik ten liczy 218 942 linie i zawiera takie informacje jak:
login użytkownika;
numer telefonu;
adres e-mail;
hash hasła;
imię i nazwisko.
Analiza danych wykazała, że 67 932 hasła zostały zapisane z użyciem bezpiecznego algorytmu bcrypt, podczas gdy pozostałe hasła prawdopodobnie korzystają z mniej bezpiecznego algorytmu MD5. W pliku znajdują się również 176 565 numerów telefonów, a aż 96,4% rekordów zawiera adresy e-mail. Najwięcej z nich to konta na Gmailu (41%) oraz na WP.pl (18%).
Eksperci zwracają uwagę na to, że ponad 35% rekordów zostało dodanych do bazy danych w tej samej minucie. Może to świadczyć o wcześniejszym imporcie danych z innego źródła. Wpisy w bazie obejmują okres od lutego 2020 roku do sierpnia 2024 roku.
Skutki wycieku dla klientów
Opublikowane dane stanowią poważne zagrożenie dla osób, które korzystają z tych samych danych logowania na różnych platformach. Cyberprzestępcy mogą wykorzystać wykradzione informacje do przeprowadzania ataków typu credential stuffing, czyli prób logowania się na inne strony za pomocą tych samych danych uwierzytelniających.
Choć Funksec groził ujawnieniem znacznie większej ilości danych, finalnie opublikowano tylko część z nich. Może to sugerować, że cyberprzestępcy wciąż liczą na zapłatę okupu przez właścicieli sklepu. Jednak już opublikowane informacje mogą zostać wykorzystane do różnego rodzaju działań przestępczych, takich jak kradzież tożsamości, oszustwa phishingowe czy sprzedaż danych na czarnym rynku.
Eksperci ds. bezpieczeństwa przestrzegają przed korzystaniem z tych samych haseł na różnych stronach internetowych. Użytkownicy, którzy podejrzewają, że ich dane mogły zostać ujawnione, powinni jak najszybciej zmienić swoje hasła oraz zachować czujność wobec podejrzanych wiadomości e-mail.