Sky-Shop potwierdził incydent bezpieczeństwa obejmujący około 9 tysięcy sklepów internetowych. Wyciek objął dane osobowe klientów i administratorów.

Jak poinformował serwis Niebezpiecznik.pl, doszło do poważnego ataku na infrastrukturę platformy Sky-Shop.pl – systemu, który pozwala tysiącom firm w Polsce tworzyć i prowadzić własne sklepy internetowe. W wyniku cyberataku z bazy danych skradziono informacje dotyczące klientów i właścicieli około 9 tysięcy sklepów.

Firma potwierdziła incydent w komunikacie przesłanym do sprzedawców, ale to oni – jako administratorzy poszczególnych e-sklepów – mają obowiązek poinformować o wycieku swoich klientów.

Jakie dane wyciekły?

Według informacji przekazanych przez platformę, przestępcy uzyskali dostęp do:

• imion i nazwisk,
• adresów e-mail,
• adresów korespondencyjnych,
• numerów telefonów,
• zahaszowanych haseł (metodą SHA512).

W przypadku właścicieli sklepów wykradziono również dane do faktur i nazwy firm. Sky-Shop zapewnia, że użyty sposób przechowywania haseł znacząco utrudnia ich złamanie, jednak – jak przyznaje w oświadczeniu – nie daje pełnej gwarancji bezpieczeństwa. Użytkownikom zalecono natychmiastową zmianę haseł.

Jak doszło do ataku?

Z ustaleń platformy wynika, że włamanie rozpoczęło się 19 października 2025 roku, kiedy cyberprzestępcy uzyskali pierwszy dostęp do systemu. Anomalie w ruchu sieciowym zauważono dopiero 28 października, a dzień później udało się ustalić źródło ataku i trwale je zablokować. Przyczyną incydentu miał być rzadko spotykany błąd w jednym z komponentów autorskiego systemu, który umożliwił pobieranie danych z serwerów.

Sky-Shop poinformował, że luka została usunięta, a systemy zabezpieczono. Trwa analiza skali naruszenia i współpraca z organami ścigania.

Jak sprawdzić, czy Twoje dane wyciekły?

Serwis Niebezpiecznik.pl zwraca uwagę, że wiele sklepów działających na platformie nie oznacza się w widoczny sposób informacją o korzystaniu z silnika Sky-Shop. Oznacza to, że klienci nie zawsze wiedzą, że robili zakupy w jednym z zainfekowanych sklepów.

Najprostszy sposób weryfikacji to sprawdzenie, czy w stopce lub regulaminie sklepu znajduje się wzmianka o Sky-Shop.pl. Jeśli tak – warto natychmiast zmienić hasło, a także zwrócić uwagę na podejrzane wiadomości SMS lub e-maile.

Źródło zdjęcia głównego: Obraz autorstwa Drazen Zigic na Freepik

AKTUALIZACJA | Otrzymaliśmy wyjaśnienia ze Sky-Shop.pl - w całości publikujemy poniżej

W ostatnich dniach nasza platforma Sky-Shop.pl, służąca prowadzeniu sklepów internetowych, padła ofiarą ataku hakerskiego, w wyniku którego nieuprawniona osoba uzyskała dostęp do części danych użytkowników sklepów internetowych prowadzonych w ramach Platformy. Zdarzenie zostało wykryte przez nas około trzydzieści godzin temu, tj. przedwczoraj (28.10.2025) w godzinach późno-popołudniowych.

Przestępca wykorzystał mało znany typ podatności w jednym z komponentów systemu, który umożliwił mu uzyskanie nieautoryzowanego dostępu do części danych sklepów internetowych korzystających z naszej Platformy. Z prowadzonych przez nas analiz wynika, że atak był dobrze przygotowany, zaś atakujący nie jest przypadkowym cyberprzestępcą. Również moment ataku - tuż przed najgorętszym okresem w e-handlu, w naszej ocenie nie jest przypadkowy.

Wśród danych, które zostały pozyskane przez atakującego, znajdują się imiona i nazwiska, adresy e-mail, adresy korespondencyjne, numery telefonów oraz hashe haseł powiązane z zarejestrowanymi kontami użytkowników. Co ważne, żadne dane dotyczące zamówień nie zostały pozyskane.

Wektor ataku został zdiagnozowany i usunięty w dniu wczorajszym (29.10.2025) w godzinach porannych.

Szacujemy, że incydent mógł objąć dane związane z około 9 000 sklepów internetowych. Liczba obejmuje również sklepy w okresie testowym w których nie przechowywano prawdziwych danych osobowych.

Właściciele wszystkich sklepów internetowych objętych incydentem otrzymują właśnie szczegółowe informacje dotyczące zdarzenia, w tym informacje pozwalające skutecznie poinformować użytkowników swoich sklepów. Ze względu na skalę incydentu, wysyłka informacji do wszystkich sklepów, których on dotyczy, zakończy się najpewniej dopiero za kilka godzin.

Zakładamy, że część naszych użytkowników w pierwszej kolejności o zdarzeniu dowie się o poranku z mediów lub wiadomości e-mail. Nie jest to dla nich i dla nas sytuacja komfortowa, niemniej uznaliśmy, że w interesie naszych użytkowników jest jak najszybsze ujawnienie informacji o zdarzeniu.

Ostatnie kilkadziesiąt godzin nasz zespół intensywnie pracował nad ustaleniem i zminimalizowaniem skutków ataku, a spora jego część spędzi w pracy kolejną noc. Następne dni będą intensywne zarówno dla nas, jak i dla naszych klientów. Dlatego też zależy nam na pełnym przekazaniu im aktualnego stanu naszej wiedzy i wsparciu ich w zaistniałej sytuacji.

Poniżej przedstawiamy szczegółowe informacje o incydencie.

Chronologia zdarzeń

• 19.10.2025 - uzyskanie pierwszego dostępu i rozpoczęcie przygotowań do pobierania danych przez przestępcę.
   
• przedwczoraj (28.10.2025), godziny popołudniowe - wykrycie anomalii w ramach rutynowego monitoringu ruchu sieciowego.
   
• wczoraj (29.10.2025), godz. 09:40 - ustalenie prawdopodobnego wektora ataku i jego trwałe zablokowanie.
   
• wczoraj, godziny popołudniowe i wieczorne - finalne potwierdzenie wektora ataku i jego skutecznej blokady oraz potwierdzenie zakresu sklepów i danych objętych incydentem.

System monitoringu zarejestrował niestandardowe żądania w obrębie naszych serwerów. Analiza logów pozwoliła ustalić źródło i charakter aktywności, a także zakres incydentu. Zaś od chwili stwierdzenia incydentu do momentu powstrzymania przestępcy minęło mniej niż dwadzieścia godzin.

Zakres pozyskanych danych

Atakujący pobierał paczki danych użytkowników posiadających konto w danym sklepie internetowym:

imię i nazwisko, adres e-mail, numer telefonu, adres korespondencyjny, dane do faktury, informację o domenie sklepu, do którego konto jest przypisane oraz hash hasła.

Nie uzyskano dostępu do:

• historii zamówień,
   
• danych kart płatniczych,
   
• numerów kont bankowych,
   
• rzeczywistych haseł.
   

Według naszych ustaleń w przypadku klientów sklepów internetowych incydent objął wyłącznie osoby, które założyły konto w tych sklepach. Nie doszło do wykradzenia danych osobowych klientów, którzy korzystali z opcji zakupów bez zakładania konta w sklepie.

Stosowany przez nas mechanizm hashowania haseł istotnie utrudnia ich odtworzenie, niemniej - tak jak każdy mechanizm hashowania - nie gwarantuje 100% skuteczności. Dlatego też wszystkim osobom korzystającym z naszej Platformy rekomendujemy zmianę haseł używanych w sklepach internetowych.

Zgodnie z najlepszymi praktykami - rekomendujemy również nieużywanie tych samych haseł w różnych miejscach.

Klienci sklepów internetowych powinni zachować czujność w zakresie ewentualnych wiadomości e-mail czy SMS, które mogą otrzymywać w najbliższym czasie. Nadchodzący okres zakupów świątecznych czy Black Friday dodatkowo sprzyjać może aktom phishingu i próbom wyłudzeń - dlatego zalecamy daleko idącą ostrożność przy klikaniu w linki w wiadomościach e-mail czy SMS. Przestępcy dysponują zakresem danych pozwalających na stworzenie wiarygodnie wyglądających prób wyłudzenia. Dotyczy to wszystkich form komunikacji - w tym połączeń głosowych.

Podjęte działania

1. Współpracujemy z ekspertami ds. cyberbezpieczeństwa
2. Współpracujemy z kancelarią prawną wyspecjalizowaną w obsłudze incydentów naruszenia ochrony danych.
3. Zawiadomiliśmy o zdarzeniu m.in. CSIRT NASK, a najpóźniej w dniu dzisiejszym (z dochowaniem terminów prawnych) powiadomimy formalnie o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych.
4. Wdrożyliśmy szereg dodatkowych działań do monitorowania i logowania ruchu w obrębie naszej Platformy, które mają zapobiec ewentualnym dalszym incydentom.
    
5. Dążymy do udzielenia niezbędnego wsparcia wszystkim naszym użytkownikom.

Dodatkowo na ten moment:

• trwa wysyłka informacji do sklepów objętych incydentem,
   
• trwa kompletowanie dokumentacji dla organów ścigania,
   
• trwa przygotowanie zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Brak kontaktu ze strony sprawców

Nie odnotowaliśmy żadnych prób kontaktu ze strony osób odpowiedzialnych za atak, w szczególności dotyczących żądań okupu.

Nie prowadzimy i nie będziemy prowadzić żadnych negocjacji z podmiotami stojącymi za incydentem.

Dalsze działania

Obecnie trwa analiza powłamaniowa, której celem jest pełne odtworzenie ścieżki ataku i jego szczegółów.

Ze względu na trwające czynności nie udzielamy na tym etapie szczegółowych informacji technicznych dotyczących wykorzystanego wektora ataku. Ze względów bezpieczeństwa nie ujawniamy również publicznie dodatkowych zabezpieczeń, które są przez nas wdrażane.