Możliwy wyciek danych użytkowników Panrest

5 stycznia 2026 na forum BreachForums pojawiła się informacja o wycieku z Panrest – polskiej platformy do zamawiania posiłków w lokalnych restauracjach. Jest to pośrednik między lokalami a klientem – platforma umożliwia przeglądanie menu, składanie zamówień oraz wybór formy dostawy / odbioru.
TLDR:

• Zalecamy profilaktyczną zmianę haseł oraz minimalizowanie danych podawanych w zewnętrznych usługach.
• Na BreachForums opublikowano informację o wycieku danych z serwisu Panrest – platformy do zamawiania posiłków.
• Dane dotyczą m.in. imion i nazwisk, adresów dostaw, numerów telefonów, adresów e-mail, adresów IP i metod płatności. Opublikowane próbki wskazują, że pozyskano je ze strony działającej na WordPress z wtyczką WooCommerce.
• Nie wiemy, czy dane (i wyciek) są prawdziwe. Operator platformy nie potwierdził incydentu.

Autor wpisu podaje, że wyciek objął dane 240 tysięcy użytkowników, w zakresie informacji takich jak:

• imiona i nazwiska,
• adresy dostaw
• numery telefonów,
• adresy e-mail,
• nazwy użytkowników,
• adresy IP i nagłówki user-agent,
• daty urodzenia,
• zamówione produkty,
• metody płatności,
• dane dostawców, którzy realizowali zamówienia.

Pokazał także nazwy kolumn, z których danych dotyczy wyciek. Ich struktura sugeruje, że dane pozyskano ze strony działającej na WordPress z wtyczką WooCommerce. W opublikowanej próbce znajdują się także wartości konfiguracyjne wtyczki i dodatków, z których korzysta.

W opublikowanej próbce danych zidentyfikowaliśmy większość danych, które skategoryzował autor wpisu. Nie było tam jednak dat urodzenia ani informacji o osobach, które dostarczały zamówienia (są za to dane restauracji, które je realizowały). Nie znaleźliśmy również wpisów, które jednoznacznie wskazywałyby na obecność tych informacji w opublikowanej liście kolumn (i dobrze, bo po co aplikacji do posiłków data urodzenia użytkownika?). 

Autor wpisu na forum wskazał, że dane zostały pobrane 3 stycznia 2026. Wpisy widoczne w opublikowanej próbce są datowane na 11 stycznia 2025. Data ta występuje w kilku polach, także jako Unix timestamp. Nie wiemy jaki dokładnie okres reprezentuje wyciek, ale można przypuszczać że mowa o co najmniej ~roku.

Na moment publikacji artykułu nie wiemy, czy dane (i sam fakt istnienia wycieku) są prawdziwe. Operator serwisu (ICHIBAN) nie wydał na ten moment żadnego publicznego oświadczenia ani nie potwierdził incydentu. Skierowaliśmy do firmy pytania i zaktualizujemy artykuł, gdy otrzymamy odpowiedzi bądź nowe informacje.

Żadna z dostępnych informacji/próbek nie wskazuje, by wyciek dotyczył haseł użytkowników. Zalecamy jednak profilaktyczną zmianę hasła, jeśli używaliście serwisu Panrest. Jeżeli tym samym hasłem logowaliście się w innych miejscach, polecamy zmienić je i tam. 

Niewiele z poziomu użytkownika można zrobić, by zapobiec tego typu wyciekom. Serwis do zamawiania posiłków z dowozem jest problematyczny, ponieważ do realizacji usługi potrzebuje wielu danych. Długofalowo polecamy jednak zastanowić się:

• czy sklep internetowy potrzebuje adresu zamieszkania, skoro zamawiam do automatu z paczkami?
• czy dostawca / restauracja potrzebuje adresu zamieszkania, jeśli odbieram zamówienie na wynos w lokalu?
• czy dostawca / restauracja potrzebuje pełnego adresu (nr klatki, mieszkania), jeśli po zamówienie wyjdę przed budynek?

Kontrola nad tym, jakie informacje podajemy różnym serwisom (oraz samodzielne wychodzenie po paczkę / zamówienie ;-) może być czasem uciążliwa, ale to w praktyce jedyne, co możemy zrobić – minimalizowanie danych, jakie udostępniamy podmiotom zewnętrznym.

Nie zachęcamy do podawania fałszywych informacji ani wprowadzania kogokolwiek w błąd, a jedynie do ograniczenia danych, jakich udzielamy podczas korzystania z różnych usług. Administratorzy danych mają obowiązek zapewnić taki stan rzeczy, do czego obliguje ich art. 5 ust. 1 lit. c) RODO.

O wycieku jako pierwszy poinformował profil RIFFSEC.

~Tymoteusz Jóźwiak