Szanowni Klienci,

W ostatnim czasie zostaliście Państwo poinformowani o zdarzeniu, polegającym na nieuprawnionym ominięciu zabezpieczeń aplikacji RedCart należącej do Droplo sp.z o.o. W trakcie rutynowych testów bezpieczeństwa przeprowadzanych przez Spółkę, ujawnione zostało zdarzenie z dnia 06.04.2024 r., polegające na ominięciu zabezpieczeń przez nieustaloną dotychczas osobę i uzyskania przez nią nieuprawnionego dostępu do Państwa danych osobowych znajdujących się na serwerze redcart.pl oraz danych użytkowników Państwa sklepów, tj. szczególności informacji o dokonywanych zamówieniach, adresach e-mail, numerach telefonów, adresów dostaw, danych do faktur VAT, informacji o produktach i cenach. Naruszenie to dotyczyło 4 sklepów internetowych serwisu.

Natychmiast po ujawnieniu zostały wdrożone zabezpieczenia i czynności uniemożliwiający bezprawny dostęp do ww. danych. Jednak w trosce o Państwa bezpieczeństwo zgodnie z prawem zgłosiliśmy również zdarzenie do Urzędu Ochrony Danych Osobowych oraz niezależnie — do organów ścigania. Ponadto podjęliśmy dodatkowe środki ostrożności mające na celu zminimalizowanie skutku nieuprawnionego dostępu (o czym niżej).

Po przeprowadzeniu wewnętrznego postępowania wyjaśniającego nie stwierdziliśmy, aby doszło do utraty dostępności danych z systemu informatycznego, jednak mamy podstawy, aby sądzić, że dane te zostały pobrane przez sprawcę. Ponadto ustaliliśmy, że sprawca pobrał dane w postaci plików konfiguracyjnych sklepów, w których były zaszyte dane, służące do wysyłki maili. Były to dane do serwerów SMTP. Z tych serwerów możliwe było wysyłanie wiadomości do swoich użytkowników sklepu np. o nowym zamówieniu. Dane, do których atakujący miał dostęp, obejmowały loginy i hasła ok. 200 podmiotów korzystających z tej usługi. W związku z powyższym kontaktowaliśmy się bezpośrednio z Państwem w celu zmiany haseł.

Informujemy, że Administrator podjął czynności zmierzające do zminimalizowania ryzyka wystąpienia tego typu naruszeń w przyszłości poprzez:

1. rozbudowanie systemu regularnej oceny poziomu bezpieczeństwa systemów informatycznych i mechanizmu monitorowania systemów;
2. informatycznych;
3. wprowadzenie dodatkowych zabezpieczeń aplikacji;
4. wprowadzenie nowego program szkoleń z zakresu zasad bezpiecznego wytwarzania oprogramowania i program testów bezpieczeństwa wytwarzanego oprogramowania;
5. zatrudnienie eksperta ds. bezpieczeństwa;
6. zalecenie klientom zmiany haseł;
7. weryfikację oraz aktualizacja oprogramowania niezbędnego do przeprowadzania testów bezpieczeństwa;
8. wdrożenie nowej infrastruktury sieciowo-serwerowej;
9. szyfrowania danych Klientów i przechowywanych w aplikacji RedCart;
10. powołanie zespołu ds. Informatycznego Bezpieczeństwa Danych, którego zadaniem będzie wprowadzanie i monitorowanie zabezpieczeń w infrastrukturze serwerowej oraz aplikacji;
11. usunięcie w kodzie źródłowym pliki konfiguracyjne sklepów i przeniósł wszystkie takie dane do zewnętrznych baz danych.

Mimo to pragniemy poinformować Państwa o możliwych skutkach powyższego naruszenia, które mogą obejmować:

1. wysyłanie niechcianych materiałów marketingowych na podany adres e-mail (tzw. spam);
2. próby kontaktu ze strony nieznanych osób i firm (tzw. phishing);
3. próby okupu;
4. niechciane telefony;
5. nieautoryzowane ujawnienie danych osobom i podmiotom trzecim;
6. wykorzystanie adresu e-mail do zakładania kont w Internecie;
7. poczucie utraty kontroli nad własnymi danymi;
8. kradzież lub sfałszowanie tożsamości;
9. straty finansowe.

W celu zabezpieczenia danych sugerujemy podjęcie następujących kroków:

1. Zmień hasło do wszystkich kont online, zwłaszcza tych powiązanych z adresem e-mail, który został ujawniony w wyniku incydentu;
2. Włącz autoryzację dwuetapową dla wszystkich kont online;
3. Używaj oprogramowania antywirusowego;
4. Skorzystaj z usług Alerty BIK na https://www.bik.pl/klienci-indywidualni/alerty-bik;
5. Zastrzeż swój PESEL;
6. W przypadku niechcianych telefonów z reklamami, blokuj te numery telefonów;
7. Regularnie monitoruj aktywność online związana z danymi osobowymi, aby wykryć i zgłosić wszelkie nieautoryzowane działania;
8. Zachowaj ostrożność przy klikaniu w linki, zwłaszcza te zawarte w nieznanych lub podejrzanych wiadomościach e-mail lub SMS;
9. W przypadku wykrycia nieautoryzowanej aktywności, lub próby szantażu, niezwłocznie zgłoś incydent odpowiednim organom (np. Policji lub organom ds. ochrony danych osobowych).

Dane, których dotyczy incydent, nie pozwalają na uzyskanie finansowania od instytucji bankowych. Nie możemy jednak wykluczyć, że dane te, jeżeli zostaną połączone z innymi (np. z innych naruszeń u innych podmiotów), takie działania umożliwią, z tego powodu rozważyć można zastrzeżenie numeru PESEL lub skorzystanie z alertów BIK.

W przypadku jakichkolwiek pytań związanych z naruszeniem prosimy o kontakt z Inspektorem Ochrony Danych Osobowych Pawłem Kobierzewskim pod adresem e-mail: iod@droplo.com, adres korespondencyjny: ul. Uczniowska 16, 58­-306 Wałbrzych.