Wyciek danych klientów Empik? Nie ma się czego obawiać. Mamy oficjalne stanowisko firmy.

Aktualizacja, 23.03.2025 10:15. Otrzymaliśmy oficjalne podsumowanie wczorajszej sprawy rzekomego wycieku danych z Emipku. Na szczęście z dobrym finałem dla klientów. Zespołowi bezpieczeństwa gratulujemy rzetelnego podejścia do tematu razem z zespołem CERT. Tutaj treść oficjalnego komunikatu:

W związku ze wczorajszymi doniesieniami chcielibyśmy definitywnie uspokoić wszystkich użytkowników Empik.com. Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne.

Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com. 

Z tego miejsca dziękujemy zespołowi ekspertów CERT za wsparcie w całym procesie i bardzo sprawną współpracę. 

Przy tej okazji chcielibyśmy również przestrzec przed publikowaniem i powielaniem w przestrzeni publicznej niezweryfikowanych informacji, szczególnie w tak wrażliwej kwestii, jaką jest bezpieczeństwo danych. 

***

Aktualizacja, 23.03.2025 8:45. ZaufanaTrzeciaStrona, wykonała dodatkową analizę. Jeśli połączymy ją z cytowanym poniżej oświadczeniem Empiku, to można na obecną chwilę stwierdzić, że wycieknięte dane są prawdziwe, ale nie pochodzą z systemów Empik (pochodzą najprawdopodobniej z innego wycieku). Nie ma więc powodów do obaw, jeśli chodzi o bezpieczeństwo Waszych kont w Empiku.

***

Na pewnym nielegalnym forum związanym z wyciekami danych, pojawiła się dziś (22 marca 2025) oferta sprzedaży rzekomo pochodzącej z Empik.com bazy danych zawierającej 24 785 190 rekordów. Zrzut ekranu z forum wskazuje, że cała baza ma 47 GB i została wyeksportowana w formacie JSON.

Przestępca (użytkownik o nicku Alcxtraze) twierdzi, że baza zawiera:

• Imię, nazwisko, adres e-mail
• Adresy zamieszkania i kod pocztowy
• Numer telefonu
• Nazwę użytkownika (login)
• Informacje o zamówieniach: liczba zamówień, daty, lista produktów
• Dane o sprzedawcach, cenach, rabatach, historii zakupów i reklamach
• ID produktów i linki do zdjęć
• Dane kontaktowe oraz preferencje zakupowe

Co zawiera próbka?

Uzyskaliśmy dostęp do próbki danych udostępnionej przez przestępcę. Znajdują się w niej takie dane jak:

• Imię i nazwisko
• Adres zamieszkania (ulica, kod pocztowy, miasto)
• Adres e-mail
• Numer telefonu
• Nazwa użytkownika
• Historia zakupów z dokładnymi datami (nawet z 2017 roku)
• Produkty, które użytkownik przeglądał lub kupił (zawierające m.in. linki do zdjęć produktów, ID, ceny, sprzedawcę i rating sklepu)

Przykładowe produkty to: pojazdy elektryczne (hulajnogi, rowery, opony), co sugeruje, że dane pochodzą z sekcji e-commerce platformy.

Skontaktowaliśmy się z osobami widniejącymi w próbce – dane zostały przez nie potwierdzone jako prawdziwe. Jak możemy też jednocześnie zauważyć – nie ma informacji o wycieku haseł. Próbka również takowych nie zawiera.

Co należy zrobić w związku z możliwym wyciekiem?

Jeśli posiadasz konto w Empik.com lub korzystałeś(-aś) z usług w przeszłości, warto zachować szczególną ostrożność i podjąć poniższe kroki:

✅ Uważaj na próby phishingu i podejrzane wiadomości

Przestępcy mogą wykorzystywać wykradzione dane (imię, nazwisko, numer telefonu, adres) do spersonalizowanych ataków phishingowych – np. fałszywych SMS-ów „z Empiku”, kuriera czy banku. Nie klikaj w linki z nieznanych źródeł, nie podawaj danych przez telefon.

✅ Włącz dwuskładnikowe uwierzytelnianie (2FA/MFA), jeśli tylko to możliwe

Nawet jeśli ktoś zna Twoje hasło, nie zaloguje się bez drugiego czynnika (np. kodu SMS, aplikacji mobilnej).

✅ Zmień hasło do konta Empik oraz wszędzie tam, gdzie używasz tego samego (lub podobnego) hasła

Użyj silnego, unikalnego hasła (najlepiej wygenerowanego przez menedżer haseł). Pamiętaj: jeśli używasz tego samego hasła w wielu miejscach, jeden wyciek = wiele zagrożonych kont. Jednak tak jak napisaliśmy wyżej, nie zostało potwierdzone w żaden sposób, że dane uwierzytelniające klientów takie jak hasło – wyciekły.

✅ Monitoruj swoje rachunki bankowe i historię transakcji

Zwróć uwagę na nietypowe obciążenia, próby logowania, SMS-y autoryzacyjne.

✅ Rozważ zastrzeżenie numeru PESEL

W obecnym stanie prawnym (po nowelizacji ustawy z 2023 r.), możesz zastrzec swój PESEL m.in. przez serwis gov.pl. Zmniejszy to ryzyko np. zaciągnięcia kredytu lub pożyczki na Twoje dane.

✅ Możesz skorzystać z usług monitoringu wycieków danych

Narzędzia takie jak Have I Been Pwned, czy polskie Bezpieczne Dane pozwalają sprawdzać, czy Twój e-mail pojawił się w znanych wyciekach.

Poprosiliśmy Empik o oficjalne stanowisko i czekamy na odpowiedź, ale na X już reagują z konta RzecznikEmpik:

Gdy tylko otrzymamy dodatkowe informacje – zaktualizujemy wpis.

AKTUALIZACJA 22.03.2025 r. o godz 16:00

Otrzymaliśmy odpowiedź od Pani Rzecznik oficjalnie na odpowiedź na nasz post na Twitterze/X i cytując:

„Nadal trwa weryfikacja wspomnianych wcześniej podejrzeń, jednak już teraz możemy powiedzieć, że zdecydowana większość udostępnionych w próbce w rzekomym incydencie danych nie występuje w systemie Empiku. Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach. Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami. Możemy również potwierdzić, że wśród nich nie znalazły się: hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze. Jednocześnie pragniemy podkreślić, żę zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych.”

Zatem, wstępne przypuszczenia okazały się prawdziwe. Zaatakowany mógł być system partnera zewnętrznego lub pośrednika. Potwierdziła się także informacja, że rzekomy wyciek nie zawiera haseł, ani hashy. Nie mniej wszystkie powyższe przedstawione przez nas zalecenia, profilaktycznie należałoby zastosować.

Będziemy nadal aktualizować ten wątek.

AKTUALIZACJA 23.03.2025 r. o godz 08:45

Dla ważności sprawy aktualizacja jest na samej górze artykułu.

AKTUALIZACJA 23.03.2025 r. o godz 10:15

Dla ważności sprawy aktualizacja jest na samej górze artykułu.

~Tomek Turba