Wyciek z Allegro. Dane Polaków zagrożone (aktualizacja)

Choć często neguje się termin wyciek danych jako sugerujący zdarzenie przypadkowe, podczas gdy w rzeczywistości za wszystkim stoją hakerzy, sprawa Allegro faktycznie nosi znamiona nieszczęśliwego zrządzenia losu.

W środę jeden z programistów webAPI odkrył, że wskutek niesprecyzowanego błędu może podejrzeć hasła części użytkowników serwisu Allegro (bądź dane z zamówień, zależnie od źródła). Sprawę zgłoszono, a już w ciągu godziny podatność została załatana. Niemniej mleko się rozlało.

Z uwagi na to, że nie wiadomo, co potencjalni znalazcy bazy zrobili ze swoją wiedzą, Allegro słusznie apeluje do użytkowników o zmianę hasła.

Użytkowników kont, których może dotyczyć problem, prewencyjnie prosimy o zmianę hasła do Allegro. Prośbę wysłaliśmy mailem, podczas logowania do serwisu wyświetlamy też formularz do zmiany hasła

– czytamy w komunikacie Allegro.

Jak uspokajają włodarze serwisu, webAPI nie jest dostępne dla każdego, a wymaga przyznania osobistego dostępu. Dlatego, w razie czego, administracja dysponuje ponoć listą osób, które wrażliwe dane mogły pobrać. Oprócz tego zapewniono, jak podaje serwis Sekurak, że w obce ręce na pewno nie wpadły żadne informacje związane z płatnościami.

Tak czy inaczej, redakcja nikomu nie życzy konieczności prowadzenia śledztwa. Co należy podkreślić, dostęp do konta Allegro oznacza ujawnienie wielu spośród najbardziej wrażliwych danych, w tym m.in. imienia i nazwiska, adresu czy numeru telefonu. Podobnie – dane z zamówień.

Aktualizacja:

Allegro przysłało nam komentarz dotyczący opisanego powyżej zdarzenia. Odnosząc się do sytuacji z 27 grudnia 2022 roku spółka poinformowała, że:

• nie nastąpił wyciek danych – zdarzenie miało charakter incydentalny, nie doszło do złamania zabezpieczeń naszej infrastruktury,
• dane Polaków nie są zagrożone – zdarzenie dotyczyło wyłącznie kilkudziesięciu klientów, nie pozyskano danych o charakterze wrażliwym (= nie pozyskano haseł),
• Allegro nie apeluje do klientów o zmianę haseł – niezwłocznie po zdarzeniu skontaktowaliśmy się WYŁĄCZNIE z użytkownikami, których danych osobowych zdarzenie dotyczyło, aby przekazać informacje o podjętych działaniach i dalszych krokach,
• nie było i nie ma możliwości podejrzenia haseł użytkowników Allegro.

Allegro informuje, że 27 grudnia 2022 roku o godz. 9.00 zidentyfikowaliśmy naruszenie danych osobowych kilkudziesięciu użytkowników Allegro oraz innych danych. Zapewniamy, że nie doszło do złamania zabezpieczeń naszej infrastruktury a bezpieczeństwo danych naszych użytkowników ma dla nas najwyższy priorytet.

Zdarzenie miało charakter incydentalny, nie pozyskano danych o charakterze płatnościowym oraz haseł. Podkreślamy, że stabilność i ciągłość działania platformy Allegro oraz świadczonych za jej pośrednictwem usług nie są zagrożone. 

W wyjaśnianiu zaistniałej sytuacji współpracujemy z Prezesem Urzędu Ochrony Danych Osobowych oraz z organami ścigania. 

Ponadto niezwłocznie skontaktowaliśmy się z użytkownikami, których danych osobowych zdarzenie dotyczyło, aby przekazać informacje o podjętych działaniach i dalszych krokach.