30.10.2024

Drogeria Super-Pharm informuje o wycieku danych osobowych klientów, powodem atak hakerów

Justyna Staszkiewicz
Bartosz Bogusławski

Drogeria Super-Pharm poinformowała, że doszło do wycieku danych osobowych z ich serwisu internetowego. Powodem wycieku miał być atak hakerski, który wykorzystał lukę w zewnętrznym systemie Adobe Commerce (Magento – oprogramowanie sklepu internetowego), obsługiwanym przez zewnętrznego dostawcę.

Naruszenie zostało wykryte przez drogerię oraz zewnętrznego dostawcę 21 października 2024 r. Wykradzione dane to między innymi: imię, nazwisko, adres e-mail, data urodzenia czy płeć. Drogeria podaje, że wykradzione zostały również hasła do konta, które są „zahaszowane”, czyli zmienione na unikalny skrót, co poprawia ich bezpieczeństwo w przypadku ewentualnego wycieku danych. Eksperci zalecają jednak zmianę haseł, ponieważ hakerzy mogą próbować przełamać zabezpieczenia. Zmiana jest szczególnie zalecana przy korzystaniu z jednego hasła do różnych kont.

W wyniku naruszenia klienci, których dane zostały wykradzione mogą otrzymywać niezamówione oferty handlowe drogą mailową lub ich adres e-mail może być wykorzystywany do zakładania kont na różnych serwisach internetowych.

Super-Pharm podjął natychmiastowe działania dotyczące zablokowania atakującemu dostępu do systemu, usunięcia luki w systemie oraz wprowadzenia dodatkowych zabezpieczeń, przeprowadzenia skanów bezpieczeństwa i monitorowania sieci. Dokonane zostało także zgłoszenie na policję oraz do Prezesa Urzędu Ochrony Danych Osobowych i CERT Polska.

Firma rekomenduje również, dokładne sprawdzanie nadawców wiadomości, kierowanych do klientów drogerii, zachowanie szczególnej ostrożności w przypadku otrzymania z nieznanych źródeł podejrzanych wiadomości e-mail oraz monitorowanie swojego konta online pod kątem nieautoryzowanych działań.

Zgodnie z RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu – czyli Prezesowi Ochrony Danych Osobowych. Ponadto, w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Działania Super-Pharm były zgodne ze standardami wyznaczonymi przez RODO, zgłoszenie zostało dokonane szybko oraz było powiązane z zawiadomieniem podmiotów, których dane wyciekły. Szybkie działanie administratora jest w takich sprawach bardzo istotne, przede wszystkim  uwagi na działania naprawcze, które administrator może podjąć, ale również ze względu na prewencję. Podjęte przez drogerię działania łączą w sobie działania naprawcze oraz właśnie te prewencyjne, mające zabezpieczyć dane na przyszłość. Z perspektywy podmiotu danych największą korzyścią płynącą z tak szybkiego powiadomienia go o naruszeniu jest możliwość zabezpieczenia swoich danych, na przykład poprzez zmianę danych do logowania.

Justyna Staszkiewicz
Bartosz Bogusławski

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.