Incydent naruszenia danych osobowych z dnia 06 kwietnia 2024 roku - aktualizacja

Szanowni Klienci,

W ostatnim czasie zostaliście Państwo poinformowani o zdarzeniu, polegającym na nieuprawnionym ominięciu zabezpieczeń aplikacji RedCart należącej do Droplo sp.z o.o. W trakcie rutynowych testów bezpieczeństwa przeprowadzanych przez Spółkę, ujawnione zostało zdarzenie z dnia 06.04.2024 r., polegające na ominięciu zabezpieczeń przez nieustaloną dotychczas osobę i uzyskania przez nią nieuprawnionego dostępu do Państwa danych osobowych znajdujących się na serwerze redcart.pl oraz danych użytkowników Państwa sklepów, tj. szczególności informacji o dokonywanych zamówieniach, adresach e-mail, numerach telefonów, adresów dostaw, danych do faktur VAT, informacji o produktach i cenach. Naruszenie to dotyczyło 4 sklepów internetowych serwisu.

Natychmiast po ujawnieniu zostały wdrożone zabezpieczenia i czynności uniemożliwiający bezprawny dostęp do ww. danych. Jednak w trosce o Państwa bezpieczeństwo zgodnie z prawem zgłosiliśmy również zdarzenie do Urzędu Ochrony Danych Osobowych oraz niezależnie — do organów ścigania. Ponadto podjęliśmy dodatkowe środki ostrożności mające na celu zminimalizowanie skutku nieuprawnionego dostępu (o czym niżej).

Po przeprowadzeniu wewnętrznego postępowania wyjaśniającego nie stwierdziliśmy, aby doszło do utraty dostępności danych z systemu informatycznego, jednak mamy podstawy, aby sądzić, że dane te zostały pobrane przez sprawcę. Ponadto ustaliliśmy, że sprawca pobrał dane w postaci plików konfiguracyjnych sklepów, w których były zaszyte dane, służące do wysyłki maili. Były to dane do serwerów SMTP. Z tych serwerów możliwe było wysyłanie wiadomości do swoich użytkowników sklepu np. o nowym zamówieniu. Dane, do których atakujący miał dostęp, obejmowały loginy i hasła ok. 200 podmiotów korzystających z tej usługi. W związku z powyższym kontaktowaliśmy się bezpośrednio z Państwem w celu zmiany haseł.

Informujemy, że Administrator podjął czynności zmierzające do zminimalizowania ryzyka wystąpienia tego typu naruszeń w przyszłości poprzez:

rozbudowanie systemu regularnej oceny poziomu bezpieczeństwa systemów informatycznych i mechanizmu monitorowania systemów; informatycznych;

  • wprowadzenie dodatkowych zabezpieczeń aplikacji;
  • wprowadzenie nowego program szkoleń z zakresu zasad bezpiecznego wytwarzania oprogramowania i program testów bezpieczeństwa wytwarzanego oprogramowania;
  • zatrudnienie eksperta ds. bezpieczeństwa;
  • zalecenie klientom zmiany haseł;
  • weryfikację oraz aktualizacja oprogramowania niezbędnego do przeprowadzania testów bezpieczeństwa;
  • wdrożenie nowej infrastruktury sieciowo-serwerowej;
  • szyfrowania danych Klientów i przechowywanych w aplikacji RedCart;
  • powołanie zespołu ds. Informatycznego Bezpieczeństwa Danych, którego zadaniem będzie wprowadzanie i monitorowanie zabezpieczeń w infrastrukturze serwerowej oraz aplikacji;
  • usunięcie w kodzie źródłowym pliki konfiguracyjne sklepów i przeniósł wszystkie takie dane do zewnętrznych baz danych.

Mimo to pragniemy poinformować Państwa o możliwych skutkach powyższego naruszenia, które mogą obejmować:

  • wysyłanie niechcianych materiałów marketingowych na podany adres e-mail (tzw. spam);
  • próby kontaktu ze strony nieznanych osób i firm (tzw. phishing);
  • próby okupu;
  • niechciane telefony;
  • nieautoryzowane ujawnienie danych osobom i podmiotom trzecim;
  • wykorzystanie adresu e-mail do zakładania kont w Internecie;
  • poczucie utraty kontroli nad własnymi danymi;
  • kradzież lub sfałszowanie tożsamości;
  • straty finansowe.

W celu zabezpieczenia danych sugerujemy podjęcie następujących kroków:

  • Zmień hasło do wszystkich kont online, zwłaszcza tych powiązanych z adresem e-mail, który został ujawniony w wyniku incydentu;
  • Włącz autoryzację dwuetapową dla wszystkich kont online;
  • Używaj oprogramowania antywirusowego;
  • Skorzystaj z usług Alerty BIK na https://www.bik.pl/klienci-indywidualni/alerty-bik;
  • Zastrzeż swój PESEL;
  • W przypadku niechcianych telefonów z reklamami, blokuj te numery telefonów;
  • Regularnie monitoruj aktywność online związana z danymi osobowymi, aby wykryć i zgłosić wszelkie nieautoryzowane działania;
  • Zachowaj ostrożność przy klikaniu w linki, zwłaszcza te zawarte w nieznanych lub podejrzanych wiadomościach e-mail lub SMS;
  • W przypadku wykrycia nieautoryzowanej aktywności, lub próby szantażu, niezwłocznie zgłoś incydent odpowiednim organom (np. Policji lub organom ds. ochrony danych osobowych).
  • Dane, których dotyczy incydent, nie pozwalają na uzyskanie finansowania od instytucji bankowych. Nie możemy jednak wykluczyć, że dane te, jeżeli zostaną połączone z innymi (np. z innych naruszeń u innych podmiotów), takie działania umożliwią, z tego powodu rozważyć można zastrzeżenie numeru PESEL lub skorzystanie z alertów BIK.

W przypadku jakichkolwiek pytań związanych z naruszeniem prosimy o kontakt z Inspektorem Ochrony Danych Osobowych Pawłem Kobierzewskim pod adresem e-mail: iod@droplo.com, adres korespondencyjny: ul. Uczniowska 16, 58­-306 Wałbrzych.