Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Punktowy wyciek danych kupujących na Allegro. Dane wystawiono na sprzedaż. Incydent nie ma charakteru masowego.

30 grudnia 2022, 18:16 | Aktualności | komentarzy 25

Na jednym z polskich forów pojawiło się takie ogłoszenie:

Redakcja danych pochodzi od sekuraka.

Rekordy zawierają dane:

  • Login
  • Imię/Nazwisko
  • Telefon kupującego
  • Nr przesyłki (InPost lub innej kurierskiej)
  • Adres dostawy
  • Zakupiony towar / kwota
  • Data/godzina transakcji

Dane nie zawierają więcej informacji o użytkownikach (np. ich haseł).

Przed publikacją poprosiliśmy Allegro o ustosunkowanie się do tematu. Niedługo później otrzymaliśmy takie wyjaśnienia:

Allegro informuje, że 27 grudnia 2022 roku o godz. 9.00 zidentyfikowaliśmy naruszenie danych osobowych kilkudziesięciu użytkowników Allegro oraz innych danych. Zapewniamy, że nie doszło do złamania zabezpieczeń naszej infrastruktury a bezpieczeństwo danych naszych użytkowników ma dla nas najwyższy priorytet.

Zdarzenie miało charakter incydentalny, nie pozyskano danych o charakterze płatnościowym. Podkreślamy, że stabilność i ciągłość działania platformy Allegro oraz świadczonych za jej pośrednictwem usług nie są zagrożone. 

W wyjaśnianiu zaistniałej sytuacji współpracujemy z Prezesem Urzędu Ochrony Danych Osobowych oraz z organami ścigania.  Ponadto niezwłocznie skontaktowaliśmy się z użytkownikami, których danych osobowych zdarzenie dotyczyło, aby przekazać informacje o podjętych działaniach i dalszych krokach.

Dodatkowo dopytaliśmy:

[sekurak] W cytowanym ogłoszeniu znajduje się informacja, że hacker może uzyskiwać (również w przyszłości) dostęp do większej ilości danych (potencjalnie nawet kilkadziesiąt rekordów dziennie) – prośba o komentarz.

[Allegro] Sprawa została zweryfikowana i nie było możliwości pozyskania danych z zewnątrz. Bezpieczeństwo danych naszych użytkowników ma dla nas najwyższy priorytet i dokładamy wszelkich starań, aby sytuacja nie powtórzyła się w przyszłości. 

[sekurak] Czy dopuszczają Państwo (potencjalnie) możliwość istnienia luki w systemie Allegro, dzięki której hacker może pozyskiwać wskazane w ogłoszeniu dane?

[Allegro] Odp Allegro: W trakcie analizy zdarzenia i podjętych czynności ustaliliśmy, że nie doszło do złamania zabezpieczeń naszej infrastruktury, a źródłem udostępnienia danych nie była luka w systemie Allegro.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz

    Nie ma zagrożenia, nie można było pozyskać danych, ale ktoś to jednak zrobił… Słabe tłumaczenia Allegro

    Odpowiedz
    • Tomek

      Należy czytać między wierszami. Przyznali, że technicznie wszystko jest ok. Są też inne możliwości, których nie wykluczyli.

      Odpowiedz
    • M.

      Przecież to Allegro – czego się spodziewałeś?

      Odpowiedz
  2. juzek

    Wodociągi kieleckie w sposób wzorcowy usuwają awarie, w sposób błyskawiczny. Jesteśmy w czołówce krajowej, a nawet światowej. Liczba awarii z roku na rok maleje.

    Odpowiedz
    • asdsad

      Najlepszy komentarz, hahaha :)

      Odpowiedz
  3. abc

    W wyjaśnianiu zaistniałej sytuacji współpracujemy z Prezesem Urzędu Ochrony Danych Osobowych oraz z organami ścigania – od kiedy to PUODO jest od pomocy w wyjaśnianiu naruszeń ochrony danych osobowych? To raczej Allegro ma sie wytlumaczyc przed PUODO, a nie Puodo ma pomagać Allegro w wyjasnianiu zdarzenia. Słuzby prasowe sie nie popisaly.

    Odpowiedz
    • Jan

      A odpowiadanie na pytania PUODO i organów to nie jest współpraca?

      Odpowiedz
  4. Dudles

    A może to nieszczęśliwy pracownik Allegro gdzieś sobie wtyczkę zostawił?

    Odpowiedz
  5. Andrej

    Jeśli zabezpieczenia nie zostaly złamane tzn że ktoś sobie dorabia na boku i tyle, czynnik ludzki. Takie dane mogą posłużyć jedynie do przekrętu na SMS „twoja przesyłka wymaga dopłaty 2,49zl” i wyczyszczenia konta fałszywym logowaniem do banku, także allegro będzie miało na glowie zgraje debili którzy dali się okraść w trywialny sposób

    Odpowiedz
    • asdsad

      Jasno napisali „naszej infrastruktury”, czyli pewnie włam miał np. InPost, którego etykiety da się drukować z Allegro.

      Odpowiedz
  6. Kamil

    Tłumaczenie Allegro wskazuje na wyciek danych od wewnątrz. Jakiemuś pracownikowi zachciało się dorobić na boku.

    Odpowiedz
  7. Karolinka

    Te dane, które wyciekły i tak wystarczą do oszustwa.

    Odpowiedz
  8. Paweł

    Wystarczy czytać ze zrozumieniem. Dane nie zostały pobrane z zewnątrz :) ale od wewnątrz można już robić wszystko. Ktoś dorabia na boku

    Odpowiedz
  9. Eryk

    > Rekordy zawierają dane:

    Ale nie ma adresów dostawy? Allegro taki adres przekazuje zawsze, nawet przy dostawie do Paczkomatu. W regulaminie nie jest to opisane, jest wspomniany tylko ogólnie „adres”.

    Odpowiedz
    • Eryk

      *adres zamieszkania, miałem ten na myśli

      Odpowiedz
  10. Olek

    Skąd mogę się dowiedzieć, czy dotyczy to moich danych?

    Odpowiedz
  11. Jean

    Czy użytkownicy Allegro, których dane wyciekły, zostaną (zostali) o tym poinformowani?

    Odpowiedz
  12. Damian

    Ja tego tłumaczenia nie kupuję, nie robię zakupów, puki nie zobaczę informacji, że metoda została jasno zidentyfikowana, a luka naprawiona. To są zbyt szczegółowe informacje. Przyjdzie Ci później e-mail, że oto link do śledzenia baterii, które wczoraj kupiłeś. Mózg skojarzy fakty, jest duże ryzyko że się w to kliknie

    Odpowiedz
  13. Leelum

    A może ktoś gdzieś ma odpalony na sieci wewnętrznej transparentne proxy z własnym root certyfikatem na każdej z końcówek klienckich? Możliwości jest wiele…

    Odpowiedz
  14. sarr

    A ja mam wrażenie, że te wycieki są nie od dziś, tylko od kilku dobrych lat.
    Bo bardzo często, jak dokonuje jakiśch zakupów na allegro, to po dniu lub kilku dniach przychodzą mi na maila phishingi pt. 'twoja paczka czeka na odbiór’ od niby-kuriera albo info, że 'twoja paczka została zatrzymana, musisz uzupełnić formularz’ itp.
    I po tych paru razach, ciężko mi uwierzyć, że to tak przypadkiem się dzieje.

    Odpowiedz
    • asdsad

      Allegro od kilku lat stosuje maskowanie adresów mailowych. Więc sprzedawca nie zna prawdziwego adresu. Wątpię żeby samo Allegro wysyłało takie rzeczy. Prędzej przyczyną jest syf na Twoim komputerze/telefonie lub to, że ktoś zna Twoje hasła do poczty.

      Odpowiedz
  15. Darek

    Allegro twierdzi że nie wyciekły dane o charakterze płatnościowym. Tymczasem 31 grudnia z konta mojej żony dokonano wypłaty 500 zł oraz jeszcze dwukrotnej próby wypłaty. Tytuł płatności APPLE.COM/BILL\\APPLE.COM/BIL\ IE – z tego wnioskuję że pieniądze zostały wypłacone na Apple Gift Card.Mam Apple ID, oczywiście nie mam żadnych transakcji – także zareklamować nie mogę bo nie ja ani nikt z mojej rodziny płatności nie wykonywał.. System antyfloodowy zadziałał i kartę zablokowano automatycznie.
    Karta była dodana do konta na allegro.
    Innych podejrzanych jak na tą chwilę brak. Żona pracuje w banku i min. zajmuje się reklamacjami także raczej socjotechniki wykluczamy.

    Może ktoś z Was miał podobne zdarzenie?

    Odpowiedz
    • Michał

      Ostatnio coraz więcej wyłudzeń „na apple”. Co ciekawe na 5 przypadków znanych mi 3 dotyczyły osób mających podpięta kartę do konta na allegro. Może to przypadek?

      Odpowiedz
  16. Konan

    Lipa do kwadratu, odkąd nowych pracowników od cybersec zatrudnili to coraz gorzej się powodzi w Allegro

    Odpowiedz
  17. kiszka

    Zdarzenie ma charakter ciągły i doszło do złamania zabezpieczeń usługi smart

    Odpowiedz

Odpowiedz