Herbapol potwierdza - dane osobowe klientów w rękach hakerów
Lubelski Herbapol padł ofiarą zorganizowanego ataku hakerskiego. Firma komentuje tylko tyle, ile musi. I jak się okazuje, musi już przeprosić klientów sklepu internetowego i poinstruować, co mają robić po wycieku ich danych osobowych.
Zorganizowany atak w pod koniec zeszłego tygodnia, hakerzy chcą 3,3 mln zł okupu
W jednej chwili systemy teleinformatyczne lubelskiego Herbapolu zostały zmiecione. O problemach firmy pisaliśmy jako pierwsi już 7 lipca. Nie uzyskaliśmy wtedy komentarza Herbapolu — wszystkie e-maile firmy przestały działać, telefonów nikt nie odbierał. A gdy w końcu jedno z połączeń zostało odebrane, padła obietnica, że oddzwoni osoba kompetentna — nie oddzwoniła.
Według pierwotnych informacji Telepolis.pl dojść miało do zaszyfrowania baz danych firmy, a w szczególności bazy używanej do obsługi kontrahentów, w tym dostawców surowców do produkcji. Ten scenariusz został ostatecznie potwierdzony zarówno przez Herbapol, w formie oświadczenia na stronie, jak i przez lubelską prokuraturę, o czym szerzej piszemy w tym artykule.
Z odszyfrowanie danych hakerzy chcą od firmy 900 tys. (około 3,3 mln zł). Herbapol na propozycję przestępców nie przystał i ruszył z procedurą kryzysową, informując o incydencie wszystkie niezbędne służby, urzędy i organizacje.
Po przeczytaniu komunikatu spółki, poprosiliśmy o więcej informacji
Do chwili publikacji tego artykułu strona główna spółki nadal nie działa. Zamiast tego jest zaślepka z komunikatem, który w oryginalnej formie przytoczyliśmy w tym tekście. Na dole komunikatu pojawił się też nowy, zewnętrzny e-mail do biura prasowego.
Skorzystaliśmy z niego, by dopytać firmę o następujące kwestie:
-
Kiedy dokładnie doszło do ataku?
-
Jaki jest zakres wycieku danych — czyje dane on zawiera i jaki ich rodzaj? To dane klientów indywidualnych czy kontrahentów spółki?
-
Jakie działania podjęła firma w celu zabezpieczenia danych klientów?
-
Czy udało się już ustalić, jaka była droga ataku? To podatność oprogramowania, czy być może atak od środka?
W odpowiedzi biuro prasowe odesłało nas do... Oświadczenia Herbapol Lublin S.A. umieszczonego na stronie https://www.herbapol.com.pl/ - czyli do miejsca, skąd wzięliśmy nowy adres e-mail do biura prasowego i skąd opublikowaliśmy już całą zawartość. Poinformowaliśmy o tym biuro, z pytaniem, czy może jest jednak szansa na szerszy komentarz i odniesienie się do naszych pytań, po czym zapadła cisza.
Ciszę przerywa sklep internetowy Herbapolu
Na stronie sklepu internetowego Herbapolu, skąd zamawiać produkty mogli bezpośrednio klienci firmy, pojawił się nieco inny komunikat niż na stronie spółki.
W związku z incydentem, w trosce o bezpieczeństwo Państwa danych osobowych, sklep internetowy www.e-herbapol.com.pl pozostaje tymczasowo niedostępny. Jest to działanie prewencyjne, mające na celu zabezpieczenie naszych klientów przed potencjalnym ryzykiem.
Jak czytamy niżej, w wyniku incydentu nie można wykluczyć, że mogło dojść do nieuprawnionego dostępu do danych osobowych klientów sklepu.
W związku z tym spółka udostępnia szczegółowe wskazówki dla ofiar kradzieży danych osobowych, dostępne w pliku PDF. Nie jest to przy tym jakaś radosna twórczość Herbapolu, tylko porządnie przygotowany opis, zbliżony w formie do dokumentów innych polskich firm, które padły ofiarą ataków hakerów z wyciekiem danych osobowych klientów.
Warto je tutaj przytoczyć, bo skala potencjalnych skutków incydentów bezpieczeństwa i sposoby reagowania na nie powinna być w pamięci każdego z nas.
Ewentualny nieuprawniony dostęp do Państwa danych osobowych może się wiązać z:
● wzmożonymi atakami phishingowymi na Państwa konto e-mail celem przejęcia kontroli nad adresem e-mail, danych dostępowych, danych do doręczeń lub rachunków bankowych,
● próbą przejęcia państwa konta e-mail w celu uzyskania autoryzacji do usług bankowych, ubezpieczeniowych lub telekomunikacyjnych,
● podszywaniem się pod klienta sklepu internetowego i korzystaniem z jego danych w sposób nieuprawniony,
Zalecane działania mogące zminimalizować ryzyko wykorzystania danych:
● zmiana haseł do konta w sklepie oraz wszelkich innych usług, gdzie używano podobnych,
● zastosowanie logowania dwuetapowego (2FA) w szczególności do konta e-mail,
● zachowanie ostrożności przy otwieraniu wiadomości e-mail i SMS od nieznanych nadawców, w szczególności podających się za instytucje finansowe,
● nieudostępnianie danych osobowych osobom trzecim bez dokładnego sprawdzenia źródła prośby.
Herbapol nie mówi wprost, że dane klientów wyciekły, ale nie jest w stanie niczego zagwarantować
Dane klientów Herbapolu jeszcze nie trafiły na żadną giełdę danych. Jeśli jednak hakerzy nie uzyskają w inny sposób wynagrodzenia za swoje trudy, ich upublicznienie jest bardzo realnym scenariuszem, znanym z innych tego typu ataków.
Na podstawie dotychczasowej analizy sytuacji nie można wykluczyć, że mogło dojść do nieuprawnionego dostępu do Państwa danych osobowych używanych do logowania i składania zamówień w sklepie e-herbapol.com.pl, co w konsekwencji może skutkować próbą ich wykorzystania.
Jak widać wyżej, w oświadczeniach Herbapol wciąż „gdyba”, ale to typowa mowa prawnicza dla tego typu sytuacji kryzysowych. Standard rynkowy i swego rodzaju parasol ochronny, a nie złe intencje. Wynika to po części też z natury samych ataków — gdy tracisz dostęp do swoich serwerów, tracisz też dostęp do wiedzy, czy i jakie dane są z nich pobierane.
Firma zwyczajnie nie wie, co się działo po utracie kontroli. Jednocześnie żądanie wysokiego okupu sugerować może, że nie był to włam dla zabawy, tylko zorganizowane działanie, wraz z pobraniem absolutnie wszystkiego, co mogło się okazać później przydatne dla hakerów.
