Bezpieczeństwo baz danych klientów to dzisiaj absolutna podstawa. Niedawny wyciek danych z Pandabuy pokazuje, jak katastrofalne w skutkach mogą być takie zdarzenia. Rzadko się zdarza, żeby skradzione dane klientów popularnego serwisu hulały sobie po całym polskojęzycznym internecie. Wystarczy chwila w serwisie X, by zyskać dostęp do personaliów, adresów i numerów telefonu tej platformy. Korzystają z nich i żartownisie i scamerzy.
Wyciek danych z Pandabuy wymknął się spod jakiejkolwiek kontroli
Wyciek danych klientów to koszmar każdego współczesnego przedsiębiorcy. Nie chodzi nawet o to, że zazwyczaj wiąże się z żądaniem okupu ze strony cyberprzestępców. Ujawnienie takiego incydentu oznacza zatopienie wiarygodności firmy. W końcu kto zaufa firmie, przez którą nasze dane znają już wszyscy telemarketerzy i naciągacze w kraju? Sytuacja komplikuje się, gdy mamy do czynienia z chińskim ecommerce, który niekoniecznie musi się jakoś bardzo przejmować problemem swoich europejskich klientów.
Chodzi rzecz jasna o wyciek danych z Pandabuy, który miał miejsce kilka dni temu. Jak podawał wówczas portal Antyweb.pl, wykradziono między innymi personalia, telefony i adresy 1,3 mln klientów tej popularnej platformy umożliwiającej klientom z całego świata kupowanie w chińskich sklepach internetowych. Atrakcyjność serwisu brała się między innymi z możliwości zakupu replik markowych ubrań po śmiesznie niskich cenach. Niektórzy kupowali na własny użytek, inni w ten właśnie sposób zaopatrywali się w towar.
Jak doszło do wycieku? Dwójka hakerów miała wykorzystać do ataku krytyczne luki w interfejsie API, do tego znalazła dodatkowe błędy umożliwiające dostęp do wewnętrznej strony serwisu. Prawdę mówiąc, nie brzmi to jak przesadnie wyjątkowa sytuacje. Kradzieże danych z różnego rodzaju firm zdarzały się w końcu w przeszłości, nawet na równie ogromną skalę. Czemu akurat wyciek danych z Pandabuy miałby być czymś wyjątkowym? Niezwykle rzadko się zdarza, żeby skradzione dane zaczęły hulać niemalże otwarcie po polskojęzycznym internecie, do tego zupełnie za darmo.
Znalezienie listy klientów Pandabuy wymaga obecnie dosłownie kilku sekund spędzonych w wyszukiwarce serwisu X. Dostępne tam listy zawierają dane ok. 250 tysięcy Polaków, przy czym niektóre nazwiska się powtarzają, a inne są ewidentnie zmyślone. Z wyliczeń użytkowników portalu Wykop.pl wynika, że na samą Warszawę przypada ok. 20 tysięcy pozycji.
Polscy internauci tropią celebrytów przechwalających się „markowymi” ubraniami, przestępcy zacierają ręce
To nie koniec, bo według doniesień medialnych na listach znaleźć się miało całkiem sporo celebrytów, w tym na przykład popularnych influencerów. Mowa o osobach, które w swojej medialnej działalności obnosiły się z posiadaniem „markowych” ubrań, które tak naprawdę były zwyczajnymi podróbkami. Nic dziwnego, że możliwość wytknięcia im kłamstwa oraz obłudy jedynie rozpaliła inkwizytorski instynkt internautów. Powstała nawet specjalna interaktywna mapa wskazująca adresy klientów Pandabuy w Polsce.
Problem polega na tym, że przytłaczająca większość ofiar wycieku to zwykli ludzie, którzy po prostu chcieli zrobić zakupy w chińskim serwisie. Teraz zaś właściwie każdy ma dostęp do ich wrażliwych danych. Wspomniałem już o fizycznych adresach, numerach telefonu i personaliach. Na uwagę zasługują także adresy IP oraz informacje o dokonanych płatnościach.
Już podstawowe dane stanowią znakomitą pożywkę dla wszelkiej maści żartownisiów, co zresztą świetnie udowadnia ta nieszczęsna mapa. Jakby tego było mało, używanie z pewnością będą mieli także oszuści i innego rodzaju cyberprzestępcy. Wyciek danych z Pandabuy z pewnością oznacza dla nich powiększenie list potencjalnych ofiar.
Na początku zasugerowałem, że chiński serwis może nie traktować wycieku z należytą powagą. Pandabuy potwierdziła wyciek poprzez oświadczenie opublikowane na popularnym komunikatorze Discord. Równocześnie jednak ze strony internautów padają zarzuty o próby zamiecenia sprawy pod dywan i cenzurowanie krytycznych wypowiedzi właśnie na Discordzie oraz w serwisie reddit.
