Atak hakerski na Agata Meble! Dane klientów zagrożone - oto, co powinni teraz zrobić. Mamy komentarz firmy!

Posiada kilkadziesiąt salonów w całym kraju, na Kujawach i Pomorzu w Bydgoszczy, Toruniu i Włocławku. Prowadzi też sprzedaż internetową.

- Bardzo się zdenerwowałam, bo nie wiem, na ile akurat moje dane są zagrożone, robiłam zakupy w Agata Meble pół roku temu. Co, jeśli ktoś wyczyści mi konto? Kilka dni temu miałam telefon z zagraniczne­go numeru, nie odebrałam, stresuję się tą sytuacją. Zupełnie nie wiem, co robić!” - skarży się nam pani Anna.

Trudno się nie denerwować, skoro tak zaczyna się mail, który kilka dni temu otrzymała pani Anna i również inni klienci znanej sieci meblowej:

• „W imieniu Agata S.A. z siedzibą w Katowicach z przykrością zawiadamiamy, że w wyniku ataku hakerskiego, do którego doszło 22 czerwca 2024 roku, nastąpiło naruszenie danych osobowych, w tym również Pani/Pana”.

Autorzy korespondencji zaraz dodają jednak: „Nie posiada­my informacji, czy osoba nieupoważniona skopiowała akurat Pani/Pana dane i czy zostały upublicznione lub są wykorzystywane w sposób niezgodny z prawem. Z maila wynika również, że naruszenie ochrony danych osobowych polegało na ty­m­czasowej utracie dostępu do nich, naruszeniu ich poufności, a być (co jest obecnie weryfikowane przez spółkę) również na ich skopiowaniu.

„Naruszeniu podlegały Pani/Pana dane osobowe przetwarzane elektronicznie przez firmę, jak: imię i na­zwisko, adres, kontakty
oraz informacje o złożonych zamówieniach i reklamacjach. Login i hasło używane do konta klienta były przez nas przechowywane poza infrastrukturą objętą atakiem. Dane finansowe dotyczą­ce sposobu płatności, w tym numery kont i kart, nie były przez nas przetwarzane (płatności by­ły realizowane przez operatorów zewnętrznych) i w zwią­zku z tym, również były poza atakiem. Wnioski o kredyt rata­lny (zarówno on-line jak i w sklepach stacjonarnych) były składane w bankach lub u ich przedstawicieli. Nie mieliśmy dostę­pu do żadnych danych z wniosków kredytowych, a więc nie były one zagrożone”.

Agata Meble ostrzega, że konsekwencją ataku może być otrzymywanie niechcianej komunikacji lub próba podszycia się pod pracownika innej instytucji w celu wyłudzenia innych danych: „Dlatego też w celu zminimalizowania niebezpieczeństwa prosimy zachować szczególną ostrożność przy podawaniu danych innym, nieznanym osobom (w szczególności podczas rozmowy telefonicznej lub za pośrednictwem poczty elektronicznej)”.

Wiadomo też, że atak hackerski został zgłoszony odpowiednim służbom i do prezesa Urzę­du Ochrony Danych Osobowych, a także podjęto kroki w celu zminimalizowania jego ewentualnych skutków „przez przywrócenie kopii danych z naszych serwerów zapasowych oraz zmianie danych dostępowych do naszych systemów z Pani/Pana danymi”. W przypadku pytań klienci proszeni są o kontakt przez formularz na stronie spółki Agata lub mailowy: [email protected].

Trudno ocenić, ilu klientów ta sprawa dotyczy, bo ich liczba jest objęta tajemnicą handlową.

Poprosiliśmy spółkę Agata Agata S.A. o komentarz do sprawy, oto on: "Niestety, potwierdzamy, że Agata S.A. padła ofiarą ataku hakerskiego. Na skutek ataku hakerzy mieli potencjalny dostęp do znacznej części systemu informatycznego spółki w tym również danych osobowych, takich jak: imię nazwisko, dane kontaktowe, dane dostawy, informacje o zamówieniach i reklamacjach. Inne dane nie były przechowywane w infrastrukturze objętej atakiem. Z informacji, które obecnie posiadamy żadne dane, które mogły wyciec nie zostały upublicznione. Na chwilę obecną funkcjonowanie wszystkich systemów informatycznych spółki zostało przywrócone, a dane dodatkowo zabezpieczone przy udziale zewnętrznego zespołu do spraw cyberbezpieczeństwa. Kwestię potencjalnego skopiowania danych nadal weryfikujemy. W związku z atakiem Agata S.A. rekomenduje, aby Klienci zachowali standardową ostrożność jak we wszystkich tego typu przypadkach, to znaczy, aby szczególnie uważali na kontakt pochodzący od nieznanych osób i nie podawali im żadnych innych danych, choćby nawet osoba kontaktująca się znała podstawowe dane osobowe (np. zwracała się po imieniu)".