Dane 36 000 użytkowników księgarni XLM.pl wyciekły i ktoś chciał je sprzedać

Dziś w nocy klienci księgarni XLM.pl otrzymali mail z ofertą kupna jej bazy danych. Prezes wydawnictwa Fronda.pl potwierdził dla Niebezpiecznika, że do włamania istotnie doszło.

Księgarnia XLM.pl reklamująca się jako katolicka Księgarnia Osób Myślących ma najwyraźniej poważny problem. Obecnie na jej stronie wyświetla się lakoniczny komunikat o pracach konserwacyjnych.

“All user data (…) for buying”

Niestety czytelnicy zarejestrowani w bazie mailingowej serwisu powiadomili nas, że w nocy otrzymali e-maile o temacie “Hacked”, w których zawarty był bardziej niepokojący komunikat. O sprawie napisało do nas około 100 osób.

Jeśli wierzyć tej wiadomości, ktoś zhackował księgarnię i wykradł dane na temat:

• ponad 36,7 tys. użytkowników,
• blisko 88 tys. zamówień,
• płatności na kwotę przekraczającą 11 mln zł.

Nadawca e-maila twierdzi, że sprzeda dane pierwszej osobie, która wpłaci 1 bitcoina na wskazany adres. Do chwili napisania tego tekstu nikt jeszcze nie wpłacił pieniędzy na wskazany portfel.

Czekamy na wyjaśnienia

Z księgarnią XLM.pl kontaktowaliśmy się już telefonicznie. W firmie nie było nikogo kto mógłby nam udzielić informacji, ale pracownicy od razu wiedzieli w jakiej sprawie dzwoniliśmy. Obiecano nam, że wkrótce skontaktują się z nami osoby odpowiednie do udzielenia wyjaśnień od strony technicznej. Nie wątpimy zresztą, że teraz te osoby mają coś do zrobienia.

Niektórzy z naszych Czytelników również dzwonili do księgarni i usłyszeli od obsługi, że do kradzieży baz tak naprawdę nie doszło, a jedynie ktoś złośliwie powysyłał e-maile. Wyłączenie serwisu ma podobno związek z weryfikowaniem sprawy.

Aktualizacja 1.02.2010 13:05

Przed chwilą rozmawialiśmy przez telefon z Michałem Jeżewskim, prezesem wydawnictwa Fronda. Oto najważniejsze ustalenia.

• Doszło do włamania i pobrania danych użytkowników. Nie ma jedynie pewności czy faktycznie w ręce włamywacza wpadły dane 36. tys. osób. Michał Jeżewski stwierdził, że “udało się częściowo przyblokować” włamywacza, ale niestety nie mamy tu szczegółów technicznych.
• Sprawa została zgłoszona do UODO i wkrótce będzie zgłoszona na policję.
• Dane, które mogły wyciec to imiona, nazwiska, adresy, numery telefonów, adresy e-mail.

Aktualizacja 1.02.2010 14:01

Na stronie księgarni pojawiło się oświadczenie. Dodaliśmy nasze pogrubienia.

Szanowni Klienci,

doszło do nieuprawnionego dostępu do danych osobowych klientów Księgarni Ludzi Myślących.
Dane osobowe, które mogły zostać wykradzione (jeśli zostały podane podczas składania zamówienia): adres e-mail, numer telefonu, adres doręczenia, dane firmy.

Bezzwłocznie po wykryciu naruszenia, dostęp został zablokowany.

Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych lub kontach bankowych. Nie zbieramy tych danych – są one przetwarzane przez zewnętrzne podmioty (PayU, PayPal, Bank Millenium).

Hasła do kont klientów nie były przechowywane w sposób jawny. Dodatkowo, wszystkie konta zostały zresetowane – należy na nowo ustawić hasło dostępu.

Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m. in. za pośrednictwem fałszywych wiadomości sms lub e-mail. Jako dodatkowy środek bezpieczeństwa zalecamy zmianę hasła, jeżeli używali Państwo takiego samego, w innych serwisach.

Naruszenie zostało zgłoszone na Policji oraz do Prezesa Urzędu Ochrony Danych Osobowych.

Zdecydowaliśmy się wyłączyć stronę księgarni do czasu wyjaśnienia sprawy i upewnienia się, że strona jest bezpieczna.

Bardzo przepraszamy za zaistniałą sytuację. Jesteśmy w trakcie przeprowadzania audytu bezpieczeństwa w celu ustalenia i wyeliminowania nieuprawnionego dostępu w przyszłości.

Jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami pocztą elektroniczną pod adresem: info@xlm.pl

Administratorem Twoich danych osobowych jest:
FRONDA PL sp. z o. o.
Łopuszańska 32
02-220 Warszawa
NIP: 5272399467

źródło: niebezpiecznik.pl