Wyciek danych ze sklepu WK DZIK

10 grudnia firma WK DZIK poinformowała mailowo swoich klientów o wycieku danych. Jak wynika z przesłanego komunikatu, do ataku miało dojść w nocy z 7 na 8 grudnia 2025 r, kiedy to włamano się do systemu informatycznego firmy i wykradziono dane.

Z przeprowadzonej analizy wynika, że incydent dotyczy następujących danych osobowych:

• imię i nazwisko, 
• adres e-mail, 
• numer telefonu, 
• informacje o złożonym zamówieniu, 
• adres.

WK DZIK poinformowało klientów, jakie są możliwe konsekwencje wycieku tego rodzaju informacji (pełna treść komunikatu na końcu artykułu) i przekazało listę podjętych działań. 

Po przeczytaniu komunikatu zastanawia nas wskazanie jednego z możliwych następstw wycieku:

„wykorzystanie numeru rachunku bankowego w próbach oszustwa – np. w fałszywej korespondencji, która ma sprawiać wrażenie, że pochodzi z banku lub od naszej firmy (samo posiadanie numeru rachunku nie daje dostępu do środków, ale może uwiarygadniać kolejne oszusta)”. 

Dane dotyczące płatności (numer konta, karty płatniczej) nie są wskazane wśród tych, które wyciekły, więc albo mamy tu do czynienia z „nadgorliwością” (wtedy brakuje informacji o ryzyku związanym z wyciekiem numeru karty płatniczej) albo wskazany w komunikacie zakres danych objętych incydentem jest niepełny.

W komunikacie pojawia się też informacja o przekazaniu danych do systemu https://bezpiecznedane.gov.pl. Przydałoby się tu słowo wyjaśnienia, czym ten serwis jest/podlinkowanie i podstawa prawna ale już się nie będziemy czepiać. Warte odnotowania jest to, że dane z incydentów w polskich firmach rzeczywiście są przekazywane do tego systemu dzięki współpracy z zespołami CSIRT I CERT.

Niejasne pozostaje, czy incydent z nocy 7 na 8 grudnia ma związek ze zgłoszeniami zaniepokojonych klientów, którzy już 4 grudnia otrzymywali ze skrzynki mailowej sprzedawcy dziwne wiadomości.

Źródło: https://x.com/evievi11_/status/1996567409688473832?s=20

W reakcji na powyższe WK DZIK wydało komunikat o tym, że ktoś włamał się na konto ich pracownika i podmienił szablon wiadomości automatycznie wysyłanej po realizacji zamówienia. Pada tam również stwierdzenie, które niestety źle się zestarzało – „Wasze dane są w pełni bezpieczne”. Informację przekazano w mediach społecznościowych, a do klientów wysłano maile o poniższej treści:

Przesłaliśmy do WK DZIK pytania dotyczące incydentu. Zaktualizujemy ten artykuł, jak tylko otrzymamy odpowiedzi. Poniżej publikujemy pełną treść oficjalnego komunikatu:

Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony jej danych Cześć, W imieniu swoim i naszej firmy WK spółka z ograniczoną odpowiedzialnością z siedzibą w Jankach informujmy Cię o incydencie związanym z ochroną Twoich danych osobowych, do którego doszło w naszej firmie. Zgodnie z art. 34 RODO mamy obowiązek poinformować co się wydarzyło, jakie mogą być możliwe konsekwencje tego zdarzenia oraz jakie działania podjęliśmy, aby ograniczyć jego skutki i zapobiec podobnym sytuacjom w przyszłości. Zależy nam na jasnej i uczciwej komunikacji oraz na zapewnieniu, że traktujemy tę sprawę bardzo poważnie. Jednocześnie bijemy się w pierś i przepraszamy za błędny sygnał i wiadomości z naszej strony o tym, że wszystko w porządku. Pospieszyliśmy się.   W nocy z 7 na 8 grudnia 2025 r. zostaliśmy zaatakowani – administrator stwierdził naruszenie ochrony danych osobowych polegające na: Włamaniu do systemu informatycznego i uzyskaniu dostępu do danych przez osobę nieuprawnioną. Dane zostały wykradzione.   Naruszenie dotyczy następujących kategorii danych osobowych: imię i nazwisko, adres e-mail, numer telefonu, informacje o złożonym zamówieniu, adres.   Naszym obowiązkiem jest poinformować Ciebie, że w związku z tym, iż doszło do wyżej wymienionego naruszenia, możliwe są następujące konsekwencje tego zdarzenia: ·     próby wyłudzenia pieniędzy lub dodatkowych danych – np. fałszywe maile, SMS-y czy telefony podszywające się pod naszą firmę, bank lub inne instytucje; ·     otrzymywanie zwiększonej liczby niechcianych wiadomości (spam, oferty, telemarketing) na podany adres e-mail i numer telefonu; ·     próby podszywania się pod Ciebie przy zawieraniu umów, zakupach na odległość lub w kontaktach z różnymi instytucjami (wykorzystanie imienia, nazwiska, adresu i informacji o zamówieniu); ·     wykorzystanie numeru rachunku bankowego w próbach oszustwa – np. w fałszywej korespondencji, która ma sprawiać wrażenie, że pochodzi z banku lub od naszej firmy (samo posiadanie numeru rachunku nie daje dostępu do środków, ale może uwiarygadniać kolejne oszusta); ·     ryzyko naruszenia prywatności – osoba nieuprawniona może poznać informacje o złożonym zamówieniu oraz adresie dostawy/zamieszkania. Wobec zaistniałego naruszenia zostały wdrożone działania, których celem ma być przede wszystkim zminimalizowanie bądź całkowite wyeliminowanie negatywnych skutków, jakie mogą łączyć się dla Ciebie z tym naruszeniem. Podjęliśmy niezwłocznie następujące działania naprawcze i zapobiegawcze: ·     przeprowadziliśmy postępowanie wyjaśniające, aby dokładnie ustalić przebieg zdarzenia; ·     zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z art. 33 RODO; ·     poinformowaliśmy o incydencie zespół reagowania na incydenty bezpieczeństwa komputerowego CERT Polska; ·     zablokowaliśmy nieuprawniony dostęp do naszych systemów informatycznych; ·     zresetowaliśmy i wymusiliśmy zmianę wszystkich haseł dostępowych; ·     rozpoczęliśmy szczegółowy audyt bezpieczeństwa naszych systemów IT, aby zwiększyć poziom ochrony danych w przyszłości.   Ze względu na troskę o Twoją sytuację, chcielibyśmy też przedstawić Ci listę rekomendacji, które pomogą Ci zadbać o bezpieczeństwo w przyszłości::   ·     zachowanie szczególnej ostrożności wobec podejrzanych wiadomości e-mail, SMS i telefonów; ·     nieudostępnianie danych osobowych osobom nieuprawnionym, nawet jeśli powołują się na znane instytucje; ·     stosowanie unikalnych i silnych haseł do różnych usług; ·     włączenie dwuskładnikowego uwierzytelniania tam, gdzie jest to możliwe; ·     niedostarczanie nikomu haseł, kodów SMS, danych logowania do bankowości internetowej ani skanów dokumentów – bank ani nasza firma nie proszą o takie informacje w wiadomościach e-mail lub SMS; ·     dokładne sprawdzanie nadawcy wiadomości oraz nieotwieranie podejrzanych załączników i linków – w razie wątpliwości lepiej samodzielnie wejść na stronę banku lub naszej firmy, wpisując adres w przeglądarce   Dodatkowo informujemy, że wykradzione dane zostaną w ograniczonym zakresie (adres e-mail oraz numer telefonu) udostępnione w serwisie „bezpiecznedane”. Gdy tylko zostaną tam zamieszczone, poinformujemy o tym w osobnym komunikacie. Umożliwi to  samodzielne sprawdzenie, czy Twoje dane znalazły się wśród danych objętych atakiem. Jeśli tak będzie, należy przyjąć, że mogły zostać wykradzione wszystkie dane wskazane powyżej.   Informujemy jednocześnie, że w przypadku pytań lub wątpliwości prosimy o kontakt w formie mailowej na adres: ochrona.danych@wkdzik.pl Ekipa WK & DZIK