Platforma e-commerce Sky-Shop informuje swoich klientów o ataku.

To nie będzie łatwy poranek dla właścicieli sklepów prowadzonych na platformie e-commerce sky-shop.pl. Od rana, platforma prowadzi akcję informacyjną, dotyczącą ataku, który został wykryty 28.10.2025 r. 

Sky-Shop rozesłał wiadomość e-mail do swoich klientów, w której obszernie informuje o zaistniałym incydencie. Według przeprowadzonej analizy powłamaniowej, do ataku miało dojść 19.10.2025, kiedy to atakujący uzyskał po raz pierwszy dostęp do systemu. Ofensywne działania, mające na celu eksfiltrację danych zostały wykryte przez monitoring 28.10.2025. Firma informuje, że udało się ustalić wektor ataku, którym miał być “mało znany typ podatności” – niestety na razie brak szczegółów odnośnie konkretnej klasy luki. Podatność została załatana, co zostało wewnętrznie potwierdzone. Chociaż stwierdzenie nie pada wprost, odczytujemy ten fakt, jako wyrzucenie atakującego z systemów firmy. Przeprowadzona analiza wykazała, że atak nie był przypadkowy (czytamy to jako celowany atak w tę platformę, a nie oportunistyczne działania przeprowadzone w wyniku odnalezienia przypadkowej podatności).

W wycieku znalazły się informacje takie jak: 

• imiona i nazwiska
• adresy e-mail
• adresy korespondencyjne
• numery telefonów
• hashe haseł

Jak słusznie zauważa platforma w swoim komunikacie (całość przytaczamy na końcu artykułu), hashowanie haseł utrudnia odzyskanie ich pierwotnej formy, jednak nie uniemożliwia ich odgadnięcia. Komunikat prasowy nie zawiera technicznych szczegółów odnośnie metody przechowywania haseł (algorytmy, dodatkowe praktyki jak sól i pieprz), jednak na tym poziomie komunikacji nie są to informacje niezbędne. 

Sky-Shop informuje, że NIE doszło do wycieku informacji dotyczących zamówień, danych kart płatniczych czy numerów kont bankowych. 

Zakres incydentu został oszacowany na ponad 9000 sklepów, ale w tę liczbę wliczone są też instancje testowe nie zawierające prawdziwych danych klientów. 

Zgodnie z przekazanymi informacjami – przestępcy jeszcze nie komunikowali się z platformą w celu wymuszenia okupu. Firma deklaruje, że nie będzie negocjować. 

Reasumując – mamy do czynienia z dużym i poważnym incydentem, który może obejmować znaczną liczbę klientów i dużo danych. Informacje pozyskane przez atakującego mogą być szczególnie użyteczne w okresie przedświątecznym, który charakteryzuje się wzmożonymi zakupami. Przestępcy mogą wykorzystać dane klientów do szeroko zakrojonych kampanii phishingowych prowadzonych wieloma kanałami. 

Problematyczny jest fakt, że z platformy e-commerce korzystają różne firmy, pod wieloma domenami. Właściciele tych sklepów są powiadamiani o incydencie i pewnie będą przekazywać informacje swoim klientom, jednak ich dojrzałość i transparentność (oraz czas reakcji) może być różny. Dlatego ustalenie, czy nasze dane znalazły się w zakresie wycieku, może być trudne. Jeśli korzystasz ze sklepu, który w stopce ma informację: „Sklep internetowy na oprogramowaniu Sky-Shop”, to dla bezpieczeństwa zmień hasło do tej platformy (a jeśli popełniasz błąd wielokrotnego używania tych samych haseł – to po pierwsze używaj unikalnych haseł do różnych platform, po drugie zacznij korzystać z managera haseł, a przede wszystkim zmień poświadczenia wszędzie tam, gdzie mogą zostać użyte). 

Użytkownikom zalecamy:

• zmianę haseł, jeśli wiedzą, że mogli paść ofiarą tego ataku
• zachować szczególną ostrożność, zwłaszcza w okresie przedświątecznym i przed Black Friday, na wszelkie komunikaty spływające drogą mailową czy telefoniczną 

Na koniec chcielibyśmy podkreślić i pochwalić postawę Sky-Shop w trzech aspektach. Po pierwsze jakość oraz transparentność komunikacji – wyczerpująca notka prasowa stoi na najwyższym poziomie. Użytkownicy są informowani o zakresie incydentu, podjętych działaniach, przy czym informacja prasowa nie zawiera stwierdzeń, które zaciemniałyby sytuację. Po drugie – monitoring, który pozwolił na szybkie opanowanie sytuacji. Na koniec – brawo za obsługę incydentu i podjęte działania. Od elementów technicznych po reakcje na poziomie biznesowym, współpraca z różnymi organami – w tym przygotowanie informacji do UODO. Incydenty mogą się zdarzyć (i pewnie na jakimś etapie zdarzą) każdemu. Jednak przejrzystość komunikacji, odpowiedzialność i podjęte działania mające na celu ograniczenie skutków są w tym momencie najważniejsze. Na uwagę zasługuje też deklaracja:

> Nie prowadzimy i nie będziemy prowadzić żadnych negocjacji z podmiotami stojącymi za incydentem.

Nauczeni doświadczeniem z gangami ransomware możemy przytoczyć znaną frazę – z terrorystami się nie negocjuje. 

Brawo!

Na koniec przytaczamy pełną informację prasową:

Atak na użytkowników platformy Sky-Shop W ostatnich dniach nasza platforma Sky-Shop.pl, służąca prowadzeniu sklepów internetowych, padła ofiarą ataku hakerskiego, w wyniku którego nieuprawniona osoba uzyskała dostęp do części danych użytkowników sklepów internetowych prowadzonych w ramach Platformy. Zdarzenie zostało wykryte przez nas około trzydzieści godzin temu, tj. przedwczoraj (28.10.2025) w godzinach późno-popołudniowych. Przestępca wykorzystał mało znany typ podatności w jednym z komponentów systemu, który umożliwił mu uzyskanie nieautoryzowanego dostępu do części danych sklepów internetowych korzystających z naszej Platformy. Z prowadzonych przez nas analiz wynika, że atak był dobrze przygotowany, zaś atakujący nie jest przypadkowym cyberprzestępcą. Również moment ataku – tuż przed najgorętszym okresem w e-handlu, w naszej ocenie nie jest przypadkowy.  Wśród danych, które zostały pozyskane przez atakującego, znajdują się imiona i nazwiska, adresy e-mail, adresy korespondencyjne, numery telefonów oraz hashe haseł powiązane z zarejestrowanymi kontami użytkowników. Co ważne, żadne dane dotyczące zamówień nie zostały pozyskane. Wektor ataku został zdiagnozowany i usunięty w dniu wczorajszym (29.10.2025) w godzinach porannych. Szacujemy, że incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym w których nie przechowywano prawdziwych danych osobowych.  Właściciele wszystkich sklepów internetowych objętych incydentem otrzymują właśnie szczegółowe informacje dotyczące zdarzenia, w tym informacje pozwalające skutecznie poinformować użytkowników swoich sklepów. Ze względu na skalę incydentu, wysyłka informacji do wszystkich sklepów, których on dotyczy, zakończy się najpewniej dopiero za kilka godzin. Zakładamy, że część naszych użytkowników w pierwszej kolejności o zdarzeniu dowie się o poranku z mediów lub wiadomości e-mail. Nie jest to dla nich i dla nas sytuacja komfortowa, niemniej uznaliśmy, że w interesie naszych użytkowników jest jak najszybsze ujawnienie informacji o zdarzeniu. Ostatnie kilkadziesiąt godzin nasz zespół intensywnie pracował nad ustaleniem i zminimalizowaniem skutków ataku, a spora jego część spędzi w pracy kolejną noc. Następne dni będą intensywne zarówno dla nas, jak i dla naszych klientów. Dlatego też zależy nam na pełnym przekazaniu im aktualnego stanu naszej wiedzy i wsparciu ich w zaistniałej sytuacji.Poniżej przedstawiamy szczegółowe informacje o incydencie. Chronologia zdarzeń – 19.10.2025 – uzyskanie pierwszego dostępu i rozpoczęcie przygotowań do pobierania danych przez przestępcę. – przedwczoraj (28.10.2025), godziny popołudniowe – wykrycie anomalii w ramach rutynowego monitoringu ruchu sieciowego. – wczoraj (29.10.2025), godz. 09:40 – ustalenie prawdopodobnego wektora ataku i jego trwałe zablokowanie. – wczoraj, godziny popołudniowe i wieczorne – finalne potwierdzenie wektora ataku i jego skutecznej blokady oraz potwierdzenie zakresu sklepów i danych objętych incydentem. System monitoringu zarejestrował niestandardowe żądania w obrębie naszych serwerów. Analiza logów pozwoliła ustalić źródło i charakter aktywności, a także zakres incydentu. Zaś od chwili stwierdzenia incydentu do momentu powstrzymania przestępcy minęło mniej niż dwadzieścia godzin. Zakres pozyskanych danych Atakujący pobierał paczki danych użytkowników posiadających konto w danym sklepie internetowym: imię i nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, dane do faktury, informację o domenie sklepu, do którego konto jest przypisane oraz hash hasła. Nie uzyskano dostępu do: – historii zamówień, – danych kart płatniczych, – numerów kont bankowych, – rzeczywistych haseł. Według naszych ustaleń w przypadku klientów sklepów internetowych incydent objął wyłącznie osoby, które założyły konto w tych sklepach. Nie doszło do wykradzenia danych osobowych klientów, którzy korzystali z opcji zakupów bez zakładania konta w sklepie. Stosowany przez nas mechanizm hashowania haseł istotnie utrudnia ich odtworzenie, niemniej – tak jak każdy mechanizm hashowania – nie gwarantuje 100% skuteczności. Dlatego też wszystkim osobom korzystającym z naszej Platformy rekomendujemy zmianę haseł używanych w sklepach internetowych. Zgodnie z najlepszymi praktykami – rekomendujemy również nieużywanie tych samych haseł w różnych miejscach. Klienci sklepów internetowych powinni zachować czujność w zakresie ewentualnych wiadomości e-mail czy SMS, które mogą otrzymywać w najbliższym czasie. Nadchodzący okres zakupów świątecznych czy Black Friday dodatkowo sprzyjać może aktom phishingu i próbom wyłudzeń – dlatego zalecamy daleko idącą ostrożność przy klikaniu w linki w wiadomościach e-mail czy SMS. Przestępcy dysponują zakresem danych pozwalających na stworzenie wiarygodnie wyglądających prób wyłudzenia. Dotyczy to wszystkich form komunikacji – w tym połączeń głosowych. Podjęte działania 1. Współpracujemy z ekspertami ds. cyberbezpieczeństwa  2. Współpracujemy z kancelarią prawną wyspecjalizowaną w obsłudze incydentów naruszenia ochrony danych.  3. Zawiadomiliśmy o zdarzeniu m.in. CSIRT NASK, a najpóźniej w dniu dzisiejszym (z dochowaniem terminów prawnych) powiadomimy formalnie o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych.  4. Wdrożyliśmy szereg dodatkowych działań do monitorowania i logowania ruchu w obrębie naszej Platformy, które mają zapobiec ewentualnym dalszym incydentom. 5. Dążymy do udzielenia niezbędnego wsparcia wszystkim naszym użytkownikom. Dodatkowo na ten moment: – trwa wysyłka informacji do sklepów objętych incydentem, – trwa kompletowanie dokumentacji dla organów ścigania, – trwa przygotowanie zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Brak kontaktu ze strony sprawców Nie odnotowaliśmy żadnych prób kontaktu ze strony osób odpowiedzialnych za atak, w szczególności dotyczących żądań okupu. Nie prowadzimy i nie będziemy prowadzić żadnych negocjacji z podmiotami stojącymi za incydentem. Dalsze działania Obecnie trwa analiza powłamaniowa, której celem jest pełne odtworzenie ścieżki ataku i jego szczegółów. Ze względu na trwające czynności nie udzielamy na tym etapie szczegółowych informacji technicznych dotyczących wykorzystanego wektora ataku. Ze względów bezpieczeństwa nie ujawniamy również publicznie dodatkowych zabezpieczeń, które są przez nas wdrażane.

Aktualizacja z 30.10.2025 godz. 13:34 CET:

Zebraliśmy przesłane przez Was pytania i przekazaliśmy je do Sky-Shop. Przytaczamy listę pytań i odpowiedzi:

1) Jaki rodzaj hasha był używany do przechowywania haseł? (np. SHA-1, SHA-256, bcrypt)

SHA512 z unikalną (per każdy rekord) solą

2) Czy wykorzystana luka znajdowała się w popularnie wykorzystywanym komponencie (np. w bibliotece czy innym oprogramowaniu), czy była specyficzna dla Państwa aplikacji?

3) Jakiego rodzaju to była luka? (np. SQL injection, RCE, XSS) / Czy błąd był aplikacyjny czy serwerowy/sieciowy?

4) Czy weryfikują Państwo czy w innych komponentach systemu nie występują podobne luki?

Odpowiedzi 2-4 zbiorczo:
Wykorzystany został mało znany typ podatności. Nie ma on związku z brakiem aktualizacji jakiegoś elementu. Ze względu na bezpieczeństwo zdecydowaliśmy się zachować szczegóły interwencji dla siebie. Weryfikowaliśmy cały system i po zakończeniu prac stwierdzamy, że nie ma więcej analogicznych luk.

5) Pytanie z innego wątku o publiczną listę sklepów na Sky-Shop

Nie ma publicznie dostępnej listy sklepów na Sky-Shop. O tym, że sklep korzysta z naszego oprogramowania świadczy stopka sklepu: https://scr.sky-shop.pl/KT_chrome_wxIAydOk.png.
Intencjonalnie stosujemy dobrą praktykę, jaką jest enumeracja kont.

Nasz komentarz:

Sky-Shop nie informuje ile dokładnie kont mogło zostać dotkniętych – informacja ta jest również wchodzi w skład zgromadzonego materiału dowodowego. Z naszej perspektywy – sama liczba nie ma zbyt dużego znaczenia. Najważniejsze jest aby administratorzy dotkniętych sklepów poinformowali swoich użytkowników, którzy zostali dotknięci wyciekiem.

~Black Hat Logan