Wyciek danych z Sky-Shop.pl dotknął 9000 polskich sklepów internetowych. Wykradzione hashe haseł i dane osobowe klientów

Polski e-commerce przeżywa jeden z najpoważniejszych incydentów bezpieczeństwa w swojej historii. Platforma Sky-Shop.pl, na której działa około 9000 sklepów internetowych, potwierdziła masowy wyciek danych klientów. Hakerzy wykorzystali mało znany typ podatności i przez dziewięć dni systematycznie eksfiltrował informacje, zanim monitoring wykrył anomalie. Ten incydent może być dopiero początkiem problemów dla tysięcy polskich e-konsumentów.

Przestępcy dysponują teraz wszystkimi danymi pozwalającymi na stworzenie wiarygodnie wyglądających prób wyłudzenia, a nadchodzący Black Friday dodatkowo sprzyjać będzie aktom phishingu.

Awaria ekosystemu Microsoft, brak możliwości logowania do Azure, Minecraft i pakietu biurowego 365. W tle ponownie Amazon AWS

Sky-Shop to platforma SaaS stworzona przez Przemysława Matogę, autora znanego "phpBB2 by Przemo". Dziś jego dzieło pozwala przedsiębiorcom prowadzić sklepy internetowe bez własnej infrastruktury. Problem? Kiedy pada centralny system, konsekwencje dotykają wszystkich jednocześnie. 19 października haker uzyskał dostęp do systemu. Przez dziewięć dni metodycznie pobierał dane użytkowników, imiona, nazwiska, adresy email, numery telefonów oraz hashe haseł zabezpieczone SHA-512 z solą. Dopiero 28 października monitoring wykrył anomalie. Sky-Shop potwierdził, że wykorzystana luka leżała po stronie autorskiego kodu, nie braku aktualizacji zewnętrznych komponentów. Pomyśl o tym jak o efekcie domina w apartamentowcu. Gdy włamywacz przełamie zabezpieczenia budynku, wystarczy jeden klucz uniwersalny, aby dotrzeć do wielu mieszkań. Tak działają ataki na platformy SaaS, jeden exploit otwiera dostęp do tysięcy biznesów i ich klientów.

Pusty rekord DNS położył pół internetu. Amazon ujawnia szokujące kulisy 15-godzinnej katastrofy dla 3500 firm i 17 mln użytkowników

Najbardziej problematyczny aspekt? Sky-Shop poinformował właścicieli sklepów, ale to oni muszą powiadomić klientów. Część użytkowników może nigdy się nie dowiedzieć o wycieku. Dodatkowo wiele sklepów nie umieszcza w stopce informacji o korzystaniu ze Sky-Shop. Wykorzystany SHA-512 z solą to dobra praktyka... sprzed kilku lat. Problemem jest to, że został zaprojektowany do szybkiego przetwarzania, a nie ochrony haseł. Eksperci rekomendują algorytmy celowo wolne, jak bcrypt czy Argon2. Według Hive Systems proste hasła mogą być złamane w kilka godzin nawet z solą, jeśli użyto szybkich algorytmów. Timing ataku nie jest przypadkowy, miesiąc przed Black Friday. Cyberprzestępcy dysponują bazą powiązanych danych, która pozwala tworzyć wiarygodne wiadomości wyłudzające. To już nie masowy spam, ale ataki szyte na miarę.

Juniper Research twierdzi, że przychody operatorów z API uwierzytelniania wzrosną dwudziestokrotnie w ciągu pięciu lat

Sky-Shop konkuruje z Shoper (10 tys. sklepów) czy IdoSell (3 tys. instancji). Wszystkie w modelu SaaS stanowią atrakcyjny cel, jeden atak = tysiące ofiar. Ten incydent to sygnał ostrzegawczy. Platformy muszą inwestować w wykrywanie anomalii, nie tylko rozwój funkcji. Sky-Shop obsłużył komunikację wzorowo. Transparentność, współpraca z CSIRT NASK i kategoryczne "nie negocjujemy". Niestety, dobre PR-owanie nie zmienia faktu wycieku. Użytkownicy powinni robić zakupy jako goście, platformy wdrożyć nowoczesne hashowanie, a ustawodawca wymagać obowiązkowych resetów haseł. Jeden atak. Dziewięć tysięcy sklepów. I pytanie, czy następnym razem to nie będzie platforma, z której akurat my korzystamy?