Imię, nazwisko, adres zamieszkania, e-mail, numer telefonu a nawet kod do bramy czy domofonu - tego typu dane przechowywała na swoim serwerze firma Fit and Eat Joanny i Dariusza Brzezińskich. Haker wykradł bazę danych zawierającą kontakty ok. 1000 osób, w tym gwiazd i sportowców.
Dane zdobył haker Polly Pocket i umieścił na forum Torrepulica w sieci Tor. Nie jest to ogólnodostępna sieć, lecz tzw. sieć podziemna. Służbom dużo trudniej jest kontrolować to, co się tam dzieje. Dlatego też właśnie tam trafiają tam takie informacje jak te wykradzione przez Polly Pocketa.
Informację o włamaniu podał serwis "Niebezpiecznik". Haker, który zasłynął włamaniem do routera Agencji Bezpieczeństwa Wewnętrznego, tym razem za cel wziął sobie firmę Joanny i Dariusza Brzezińskich, która dostarcza swoim klientom zdrową żywność oraz doradza w kwestiach treningów i zdrowego stylu życia.
Fit and Eat reaguje
Joanna Brzezińska w rozmowie z naTemat potwierdziła, że doszło do włamania na firmowy serwer. Zaznaczyła też, że baza danych faktycznie mogła zawierać dane ok. tysiąca osób, w tym gwiazd i sportowców. Ostatnio była aktualizowana w kwietniu tego roku.
Współwłaścicielka Fit and Eat zaprzeczyła jednak informacjom "Niebezpiecznika" jakoby w bazie były też dostępne informacje na temat zdrowia klientów firmy.
– Nie umieszczaliśmy w tej bazie tego typu informacji. Przykładaliśmy dużą wagę do bezpieczeństwa danych naszych klientów – mówi naTemat Joanna Brzezińska. Dementuje też doniesienia, że dane zostały wykradzione z serwera FTP należącego do firmy obsługującej Fit and Eat. Jak mówi, serwer należał do jej przedsiębiorstwa, choć przyznaje, że w instalacji i administrowaniu serwerami pomagała firma zewnętrzna.
Haker wykradł bazę danych, w której można znaleźć imię, nazwisko, adres zamieszkania, adres e-mail oraz numer telefonu klientów firmy. Przy niektórych rekordach znajdują się także uwagi pomocne przy dostarczaniu klientom specjalnie przygotowywanych posiłków, w tym kody do bram wejściowych i domofonów.
Udało nam się dodzwonić do Pawła Małaszyńskiego, który korzystał z usług Joanny i Dariusza Brzezińskich. Aktor potwierdził, że został już poinformowany o całej sytuacji przez firmę. – Takie rzeczy zdarzają się w dzisiejszych czasach. Nie mam żadnych zastrzeżeń do działalności firmy państwa Brzezińskich, a nawet mogę ją śmiało polecić – mówi.
Jak uniknąć włamania?
– Nie mamy w tej chwili dokładnej wiedzy na temat tego, co się stało, zatem trudno jest wskazać konkretne działania, które pozwalałyby uniknąć tego typu włamań. Z pewnością jest to problem, który dotyka wielu firm, także tych największych - mówi naTemat Piotr Konieczny, ekspert ds. bezpieczeństwa IT i prowadzący serwis Niebezpiecznik.pl.
Co prawda w tym konkretnym przypadku trudno jest wskazać co przyczyniło się do włamania i kradzieży danych, ale istnieje zestaw uniwersalnych dobrych praktyk, z którym powinna zapoznać się każda firma przechowująca na serwerach dane swoich klientów.
Tego typu zestaw wskazówek przygotował między innymi Niebezpiecznik.pl. Autorzy serwisu radzą m. in. żeby szyfrować zgromadzone dane, aktualizować oprogramowanie, z którego się korzysta w firmie, używać haseł trudnych do złamania czy zainstalować program antywirusowy. Przede wszystkim jednak należy myśleć o tym, co i gdzie się przechowuje.
Klienci natomiast powinni dbać o to, żeby nie podawać zbyt dużej ilości swoich danych w zbyt wielu miejscach.
Poinformowaliśmy już najważniejszych klientów o całym zdarzeniu. Teraz ściśle współpracujemy z policją, aby ustalić wszystkie okoliczności tego włamania. Ze względu na toczące się śledztwo nie możemy udzielić szerszych informacji, lecz zapewniamy, że na naszym blogu w naTemat opublikujemy niedługo przeprosiny oraz informację dla naszych klientów.