Drogeria Super-Pharm poinformowała, że doszło do wycieku danych osobowych z ich serwisu internetowego. Powodem wycieku miał być atak hakerski, który wykorzystał lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę.
Naruszenie zostało wykryte przez drogerię oraz zewnętrznego dostawcę 21 października 2024 r. Wykradzione dane to między innymi: imię, nazwisko, adres e-mail, data urodzenia czy płeć. Drogeria podaje, że wykradzione zostały również hasła do konta, które są „zahaszowane”, czyli zmienione na unikalny skrót, co poprawia ich bezpieczeństwo w przypadku ewentualnego wycieku danych. Eksperci zalecają jednak zmianę haseł, ponieważ hakerzy mogą próbować przełamać zabezpieczenia. Zmiana jest szczególnie zalecana przy korzystaniu z jednego hasła do różnych kont.
W wyniku naruszenia klienci, których dane zostały wykradzione mogą otrzymywać niezamówione oferty handlowe drogą mailową lub ich adres e-mail może być wykorzystywany do zakładania kont na różnych serwisach internetowych.
Super-Pharm podjął natychmiastowe działania dotyczące zablokowania atakującemu dostępu do systemu, usunięcia luki w systemie oraz wprowadzenia dodatkowych zabezpieczeń, przeprowadzenia skanów bezpieczeństwa i monitorowania sieci. Dokonane zostało także zgłoszenie na policję oraz do Prezesa Urzędu Ochrony Danych Osobowych i CERT Polska.
Firma rekomenduje również, dokładne sprawdzanie nadawców wiadomości, kierowanych do klientów drogerii, zachowanie szczególnej ostrożności w przypadku otrzymania z nieznanych źródeł podejrzanych wiadomości e-mail oraz monitorowanie swojego konta online pod kątem nieautoryzowanych działań.
Zgodnie z RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu – czyli Prezesowi Ochrony Danych Osobowych. Ponadto, w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Działania Super-Pharm były zgodne ze standardami wyznaczonymi przez RODO, zgłoszenie zostało dokonane szybko oraz było powiązane z zawiadomieniem podmiotów, których dane wyciekły. Szybkie działanie administratora jest w takich sprawach bardzo istotne, przede wszystkim uwagi na działania naprawcze, które administrator może podjąć, ale również ze względu na prewencję. Podjęte przez drogerię działania łączą w sobie działania naprawcze oraz właśnie te prewencyjne, mające zabezpieczyć dane na przyszłość. Z perspektywy podmiotu danych największą korzyścią płynącą z tak szybkiego powiadomienia go o naruszeniu jest możliwość zabezpieczenia swoich danych, na przykład poprzez zmianę danych do logowania.