Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%
Wyciek danych z Botland.com.pl
Botland, popularny internetowy sklep z elektroniką, poinformował dziś (22.08.2025) swoich klientów, że padł ofiarą ataku cyberprzestępców.
Ślady obecności intruza w systemie zostały zauważone 23 lipca i 3 sierpnia 2025 r., ale według firmy nie wskazywały na naruszenie bezpieczeństwa danych. Dopiero szczegółowe badanie zlecone niezależnemu podmiotowi zakończone 11.08.2025 r. pozwoliło ustalić, że atakujący wykorzystali jeden z modułów sklepu i uzyskali dostęp do danych dotyczących części klientów i do nich Botland wysłał wiadomości e-mail.
Jak słusznie zauważyli czytelnicy sekuraka, firma wysłała dwa rodzaje wiadomości. Jedna informuje o tym, że dane klienta należały do puli tych, którymi “interesowali się atakujący”. Druga wiadomość jest bardziej optymistyczna, bo informuje o zaistniałym wycieku, ale stwierdza, że nie ma informacji o naruszeniu poufności danych tych klientów (jednak Botland jednoznacznie nie wyklucza takiej możliwości).
Dane, których dotyczy incydent:
- adres e-mail;
- hash hasła.
Najważniejsze informacje:
- nie wiemy, czy w ogóle i jakie dane zostały pobrane;
- Botland nie odnotował żadnej podejrzanej aktywności na kontach klientów;
- zdarzenie zostało zgłoszone do Prezesa UODO;
- firma jest w trakcie zbierania materiałów, aby przekazać sprawę do organów ścigania;
- konta klientów objętych naruszeniem zostały prewencyjnie zablokowane (choć docierają do nas informacje, że nie w każdym przypadku);
- hasła przechowywane były jako wynik funkcji skróty kryptograficznego (ale sklep nie podał jakim algorytmem były hashowane).
Co zrobić?
- jeśli używasz w wielu miejscach tego samego hasła, to przestań (i zastosuj manager haseł);
- ustaw silne hasła, tzn. minimum 15 znakowe i nieoczywiste
- jeśli otrzymałeś e-mail z informacją o wycieku, zresetuj hasło na stronie sklepu;
- uważaj na wszelkie wiadomości wykorzystujące markę Botland, to może być próba oszustwa;
- Twój adres mailowy może być w przyszłości wykorzystany jako baza w kampaniach phishingowych, również tych niezwiązanych z ww. firmą, bądź czujny.
Botland planuje przeprowadzenie dodatkowych testów penetracyjnych, wdrożenie opcjonalnego uwierzytelniania 2FA i mechanizmu monitorującego anomalie ruchu na serwerach.
~Natalia Idźkowska
ja np. nie mogę zmienić hasła na stronie, ze względu na błędny mail, który nawet nie jest polem, które mogę edytować…
To jest błędnie zaprojektowany formularz. W pierwszym polu hasło wpisujesz stare hasło, a w drugim nowe hasło, a nie dwa razy nowe jak w normalnych serwisach.
Jaki wykrywacz anomalii polecacie dla serwerow linuxowych i k8s?
Wogóle czy komunikat który wysłali był zgodny z jakimiś RODO lub innymi zaleceniami UODO? Ponieważ komunikat NIE zawierał żadnej informacji jakie dane wyciekły lub jaki ich zakres mógł zostać naruszony. I muszę się teraz dowiadywać z artykułu mojej ulubionego bloga o security że wyciekły dodatkowo hashe haseł?
Trzeba chyba dodatkowo złożyć na nich skargę do UODO za brak wysłania prawidłowego maila.
https://imgur.com/a/VKQWgCW tak wyglądał ich email (żadnych informacji co wyciekło i jak tylko państwa dane są już bezpieczne i postanowienie poprawy)
Bo były dwie wersje. Tam gdzie musiał być komunikat z rodo i drugi, dobrowolnie wysłany który nie podlega pod rodo.
Dobrze proszę pana społeczniaka, za literówkę jeszcze narodzenie na rynku o 12ej.
To nie rowery, żeby zaraz policzyć, jakie ukradli. Jeżeli mają jakieś logi, to są teraz grube gigabajty do zweryfikowania. Może jak przekażą materiały, trafią na dobry zespół, który będzie w stanie zweryfikować przyczynę i zakres szkód. To mrówcza praca, a pewności i tak nie będzie.
Tydzień roboczy na realizację analizy powłamaniowej to jest dobry wynik?
Maila dostałem, jednak konta tam nie miałem, kupowałem raz jako gość. Czyli atakujący mógł pozyskać co najwyżej mojego maila?
> ustaw silne hasła, tzn. minimum 15 znakowe i nieoczywiste
Szkoda, ze tak wiele serwisów limituje długość znaków do zawrotnych 16 znaków. Nie wiem jak Borland, ale regularnie ustalam długie hasła przy rejestracji, tylko po to, żeby je skrócić a czasem nawet obciąć ze znaków specjalnych! Nawet allegro z 10 lat temu miało limit 16 znaków, teraz nie wiem.
O jaki moduł sklepu chodzi?
Z artykułu wynika, że jakaś wtyczka może mieć krytyczną podatność. Podajcie jaka aby sprzedający mogli zareagować.
Jeśli nie robisz zaawansowanej elektroniki.opartej na mikroprocesorach to nie masz się czego obawiać. To nie był atak jakich wiele (nikt nie pobrał całej bazy klientów mimo że miał dostęp). Czego szukał i co chciał potwierdzić/wykluczyć?
No właśnie komunikat Botlandu jest mylący.
Do tych rzekomo „bezpieczniejszych” poszkodowanych Botland pisze w pkt 1, Botland miał intruza w systemie, a w pkt 2, że nie ma dowodów na to, że atakujący zainteresował się ich danymi. I co to znaczy zainteresował? RODO mówi jasno albo ktoś miał / mógł mieć dostęp do danych albo nie. I możliwość ta jest otwarta tak długo jak, nie wykluczy się, że nie miał. Stąd brak dowodu, na to że ktoś się „zainteresował” nic do sprawy nie wnosi.
Ciekawe, bo kupowałem na botland akcesoria do RaspberryPi , a jednak żadnego maila o wycieku nie dostałem… W spamie też nie ma.