Ochnik wysyła do swoich klientów SMS-y z informacją o możliwym wycieku danych. Jak czytamy w wiadomości, osoby nieuprawnione mogły mieć dostęp do danych osobowych klientów oraz informacji dotyczących reklamacji. W dalszej części SMS-a sieć sklepów odsyła do komunikatu na własnej stronie internetowej.
Ochnik informuje w SMS-ach o możliwym wycieku danych osobowych klientów fot. materiały własne
Ochnik informuje o "możliwym incydencie"
W komunikacie Ochnik informuje, że wykrył "próbę dostępu przez osobę nieuprawnioną" do bazy systemu ERP. W bazie danych sklep przechowywał dane osobowe klientów: imię i nazwisko, adres e-mail, numer telefonu, adres oraz dane dotyczące składanych reklamacji.
To niestety zła wiadomość dla klientów, którzy powierzyli firmie swoje dane, np. zapisując się do Klubu Klienta lub składając reklamację. Jeśli cyberprzestępcom udało się pozyskać poufne dane, mogą wykorzystać je do rozsyłania spamu na numer telefonu i adres e-mail podany Ochnikowi. Co gorsza, mogą również wykorzystać dane osobowe w nieuprawniony sposób, np. do dokonania oszustwa, informuje spółka, zalecając ostrożność.
[...] Zalecamy ostrożność i czujność podczas weryfikacji wszelkiej otrzymywanej przez Państwa korespondencji pocztowej, wiadomości SMS, telefonów, a także wiadomości e-mail, które mogą wprowadzać w błąd w celu wyłudzenia innych danych osobowych lub dokonania oszustwa
- czytamy w komunikacie wydanym przez zarząd Ochnik S.A.
Ochnik informuje klientów o możliwym wycieku danych fot. screen ze strony Ochnik
Firma na razie sprawdza, czy cyberprzestępcom faktycznie udało się pozyskać informacje z bazy danych. Po wykryciu incydentu Ochnik zawiadomił organy ścigania o możliwości popełnienia przestępstwa. O sprawie poinformowano również Prezesa Urzędu Ochrony Danych Osobowych. Firma podjęła też kroki mające na celu zabezpieczenie systemu informatycznego:
Pragniemy wyrazić ubolewanie z powodu zaistniałej sytuacji, a równocześnie zapewnić, że w celu zminimalizowania ryzyka ponownego jej wystąpienia zastosowaliśmy środki bezpieczeństwa w postaci m.in. zabezpieczenia systemu ERP, weryfikacji zabezpieczeń IT, a także weryfikacji procedur bezpieczeństwa obowiązujących w spółce OCHNIK S.A.
Ochnik wiedział o incydencie wcześniej
Sieć przyznaje, że wykryła incydent 15 kwietnia 2019 roku. Nie mamy jednak pewności, czy to właśnie tego dnia doszło do włamania do bazy danych sklepu. Jeśli tak, wyciek dotyczy jedynie klientów, którzy powierzyli firmie dane przed tą datą. Szkoda jednak, że sieć postanowiła powiadomić o tym klientów aż 1,5 miesiąca później.
Co ciekawe, na stronie Ochnika można znaleźć inny komunikat - dotyczący prawdopodobnie tego samego incydentu - wydany 8 maja. Wówczas sieć informowała, że - poza wyżej wymienionymi danymi - osoby nieuprawnione mogły uzyskać również dostęp do nazwy miejscowości klienta i jego historii transakcji. Wiadomości SMS z odpowiednią informacją i odesłaniem do komunikatu wtedy jednak nie otrzymaliśmy.
Czytaj też: AliExpress na celowniku urzędów konsumenckich w całej Europie
