W sobotę 22 marca miał mieć miejsce potężny wyciek danych z Empiku. Na jednym z forów internetowych pojawiła się oferta sprzedaży ogromnej ilości wrażliwych informacji o klientach sieci. Szybko jednak miał miejsce niespodziewany zwrot akcji: żadnego wycieku nie było. Dane zostały spreparowane, bo jedni oszuści zamierzali w ten sposób oszukać drugich.
Wyciek danych z Empiku był fałszywy. Jedni przestępcy chcieli zarobić kosztem swoich kolegów po fachu
Wycieki wrażliwych danych z różnego rodzaju firm i instytucji to coś, do czego na dobrą sprawę przywykliśmy. Każdy taki incydent stanowi ogromną skazę na wizerunku danej marki. Nic dziwnego, bo dla klientów oznacza obawę o bezpieczeństwo przede wszystkim ich majątków.
Dane osobowe w rękach przypadkowych internautów, albo wręcz cyberprzestępców, mogą mieć straszliwe konsekwencje. W grę wchodzą pożyczki zaciągnięte na nazwisko ofiary, które później będą trudne do odkręcenia. Można także ukraść czyjąś tożsamość i wykorzystać ją w jakimś przestępstwie. Nie sposób także bagatelizować perspektywę sprzedaży naszych danych jakimś podejrzanym marketingowcom, którzy zaczną zalewać nas ofertami.
W sobotę 22 marca gruchnęła wieść o tym, że miał miejsce wyciek danych z Empiku. Na wyspecjalizowanym forum internetowym pojawiła się oferta sprzedaży bazy danych ważącej 47 GB. Zawierać miała 24 785 190 wpisów. Wśród nich znajdować się miały imiona i nazwiska oraz adresy e-mail oraz zamieszkania klientów, ich numery telefonu, loginy, a także drobiazgowe informacje o dokonanych transakcjach.
Spokojnie, nie ma się czym martwić. Okazuje się, że żadnego wycieku nie było. W niedzielę około godziny 10:15 oficjalne dementi opublikował Empik. Zawiera ono bardzo interesujący zwrot akcji.
W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne.
Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com.
[…]
Wygląda więc na to, że oszuści postanowili oszukać innych oszustów. Mamy więc do czynienia nie tylko z niezwykle zabawnym obrotem sprawy, ale także z potencjalną korzyścią dla całego polskiego internetu.
Być może w zalewaniu czarnego rynku spreparowanych danych tkwi rozwiązanie problemu z ich kradzieżą
Jak do tego doszło? Serwis Zaufana Trzecia Strona doszedł do wniosku, że fałszywy wyciek danych z Empiku składał się ze spreparowanych danych z innego wycieku w innej firmie. W grę wchodziły także dane po prostu zmyślone albo pozyskane z ogólnodostępnych źródeł. Tym samym żadnego zagrożenia dla klientów sieci nigdy nie było.
Ktoś mógłby spytać, gdzie tu dostrzegam korzyść z całego zamieszania. Odpowiedź jest prosta: jeżeli handel wykradzionymi danymi będzie zanieczyszczany przez tego typu bezwartościowe śmieci, to stanie się zauważalnie mniej atrakcyjny dla odbiorców. Jakby tego było mało, tego typu incydenty nie pozostałyby bez wpływu na ceny wykradzionych informacji. Czarny rynek w końcu również podlega mechanizmom popytu, podaży i zarządzania ryzykiem. Zalew bezużytecznymi „wyciekami” sprawiłby, że opłacalność całego procederu po obydwu stronach transakcji zauważalnie spadnie.
Można oczywiście stwierdzić, że takie myślenie jest naiwne. W końcu pomiędzy złodziejami nie należy się spodziewać uczciwości. Z drugiej jednak strony, jeśli odbiorcy takich towarów nie będą mogli się spodziewać prawdziwych wykradzionych danych, to nie będą skorzy do wydawania pieniędzy. Fałszywe wycieki danych rzeczywiście zdarzały się w przeszłości. Nie są to jednak zwykle sytuacje głośne medialnie. Co więcej, nie sposób także negować starą prawdę, że im gorzej dla cyberprzestępców, tym lepiej dla innych.
Być może więc warto szczęściu pomóc. Na przeszkodzie przed preparowaniem danych przez organy ścigania stoi jednak to, że nikt nie chce zaszkodzić prawdziwym firmom. Nawet fałszywy wyciek danych z Empiku zaniepokoił klientów tej sieci. Na szczęście skończyło się na całym dniu niepokoju.
