StoryEditor
Prawo
27.08.2024 13:33

Sprzedajesz drogerię erotyczną albo produkty sexual wellness? Niebezpiecznik ostrzega: doszło do wycieków, zabezpiecz swoje bazy danych

Wycieki danych w przypadku sklepów oferujących produkty z kategorii sexual wellness czy drogerii erotycznej mogą mieć dalece bardziej dotkliwe konsekwencje niż standardowe. / Unsplash

Produkty z kategorii drogerii erotycznej, takie jak lubrykanty czy żele stanowią coraz poważniejszą pozycję w ofercie sieci drogeryjnych czy kosmetycznych. To oznacza, że klienci, kupując je, pokładają rosnące zaufanie w sprzedawcę co do zadbania o bezpieczeństwo swoich danych osobowych i prywatność. Tymczasem właśnie doszło do poważnego wycieku baz danych klientów sklepów oferujących tego typu produkty, o czym ostrzega Niebezpiecznik.

Minionej nocy do kilkudziesięciu osób trafiły e-maile od cyberprzestępcy, który w swoich wiadomościach szczegółowo cytował produkty zakupione w internetowych sex-shopach. Włamywacz twierdzi, że posiada dostęp do danych zawierających m.in. adresy zamieszkania i żąda zapłaty 500 PLN w zamian za ich usunięcie. Informacje o tych atakach dotarły do redakcji portalu Niebezpiecznik, która otrzymała liczne zgłoszenia od osób będących klientami zaatakowanych sklepów. Co ważne, niemal wszyscy zgłaszający potwierdzili, że produkty, które cytował w e-mailu szantażysta, rzeczywiście odpowiadały ich zamówieniom. To wskazuje na autentyczność wycieku i wysokie prawdopodobieństwo, że dane rzeczywiście zostały skradzione.

Atak na sklepy erotyczne nie jest pierwszym tego typu incydentem, o którym informowano na przestrzeni ostatnich miesięcy. Już w czerwcu Niebezpiecznik donosił o podobnym włamaniu na platformę e-commerce Selly, gdzie hakerzy uzyskali dostęp do danych trzech sklepów sportowych. Wówczas w jednym z komentarzy padło ostrzeżenie, że na tej samej platformie znajdowały się także sklepy erotyczne, co może stanowić okazję do bardziej agresywnej monetyzacji wycieku. Wygląda na to, że te przewidywania się sprawdziły – obecna sytuacja może stanowić poważne zagrożenie, szczególnie jeśli dane trafią w niepowołane ręce i zostaną wykorzystane do stalkingu, prześladowania czy publicznego zawstydzania ofiar.

Niebezpiecznik cytuje wiadomość od internetowego szantażysty:

Rozległe wycieki danych z AtomStore, Sote, RedCart, Selly w tym sklepów internetowych [...]  są skutkiem rażącego niedbalstwa, ignorancji i niskiej jakości kodu programistycznego platform ecommerce. Od kilku miesięcy o wyciekach kodów źródłowych oraz danych można przeczytać w sieci. Wymienione sklepy internetowe i platformy ecommerce wiedzą o wyciekach, nie były zainterestowane współpracą. Dotychczas żadne dane nie zostały przeze mnie opublikowane i zamierzam to zmienić.

Przykład wycieku danych to Państwa zamówienie o ID [NUMER] złożone 2024-04-29 08:01:22 na erozkosz[.]pl
[...]

Posiadam dane teleadresowe podane podczas składania zamówienia.
Proszę wpłacić równowartość 500 zł do pierwszego października 2024 roku na adres [ADRES PORTFELA] B i t c o i n a można nabyć anonimowo za gotówkę w lokalnym kantorze walut wirtualnych. Zrealizowanie płatności to usunięcie wszystkich Państwa danych przed publikacją. Wszystkie zamówienia niepłacących klientów zostaną opublikowane w formacie CSV, tak aby każdy zainteresowany miał przystępny dostęp do danych. [...]

Historia pokazuje, że takie incydenty mogą prowadzić do tragicznych konsekwencji. Przykładem jest sprawa z 2015 roku, kiedy po wycieku danych z serwisu randkowego AshleyMadison część użytkowników musiała uciekać ze swojego kraju, a niektórzy podjęli próby samobójcze. W Polsce również mieliśmy już podobne przypadki – w 2020 roku wyciekły dane klientów serwisu sexshop.com.pl, a cztery lata wcześniej informacje o użytkownikach platformy Zbiornik. Obecny wyciek, jeśli zostanie upubliczniony przez szantażystę, może doprowadzić do dalszych eskalacji problemów związanych z ochroną prywatności, zwłaszcza w kontekście delikatnych danych dotyczących życia intymnego.

Jak zabezpieczyć swój sklep online przed atakiem?

Aby zabezpieczyć bazy danych w sklepie internetowym przed atakami hakerskimi, należy wdrożyć kilka kluczowych środków ochrony. Przede wszystkim, podstawą jest regularna aktualizacja oprogramowania oraz systemów zarządzania treścią (CMS), co pozwala na eliminację znanych luk bezpieczeństwa. Warto również zastosować wielowarstwową ochronę, w tym szyfrowanie danych zarówno w ruchu (SSL/TLS), jak i w spoczynku. Istotnym elementem jest także segmentacja sieci i ograniczenie dostępu do bazy danych tylko do uprawnionych użytkowników i systemów.

Czytaj także: Bed, Bath & Beyond bada przypadek cyberataku i wycieku danych

Zabezpieczenie kont administracyjnych silnymi, unikalnymi hasłami oraz dwuskładnikowym uwierzytelnianiem (2FA) znacznie utrudnia dostęp niepowołanym osobom. Regularne tworzenie kopii zapasowych oraz monitorowanie aktywności w systemie z wykorzystaniem narzędzi do wykrywania anomalii pomaga szybko zareagować na podejrzane działania. W końcu, edukacja personelu i przestrzeganie zasad higieny cyfrowej, takich jak unikanie phishingu, to niezbędne kroki do minimalizowania ryzyka wycieku danych.

Około 25-30 proc. drogerii i perfumerii online (w tym np. Rossmann, Sephora czy Hebe) w Polsce oferuje produkty z kategorii sexual wellness, takie jak lubrykanty czy żele intymne. W ciągu ostatnich lat rynek ten znacznie się rozszerzył, a wiele popularnych sklepów z kosmetykami i perfumami zdecydowało się na włączenie takich produktów do swojej oferty. Wpływ na to miały zmiany społeczne oraz rosnące zainteresowanie tematami związanymi z intymnym zdrowiem i komfortem. Procent ten może się różnić w zależności od tego, jak szeroko definiuje się kategorię sexual wellness, ale ogólnie można stwierdzić, że jest to już znaczący segment w branży e-commerce związanej z urodą i zdrowiem - jednak niezależnie od tego zagadnienie cyberbezpieczeństwa i solidnej ochrony danych klientów dotyczy wszystkich podmiotów prowadzących handel online.

Czytaj także: Guardian: PFAsy w prezerwatywach w i drogerii erotycznej są realnym zagrożeniem dla konsumentów i konsumentek

ZOBACZ KOMENTARZE (0)
StoryEditor
Prawo
07.07.2025 16:35
RAPEX Safety Gate alarmuje: krem Laboratorium Ava zakażony Escherichia coli
Krem z Laboratorium Ava został zakwestionowany przez estońskie władze.RAPEX Safety Gate

Estońskie organy nadzoru sanitarnego zgłosiły do unijnego systemu Safety Gate alert dotyczący polskiego kosmetyku – kremu do twarzy EXTRA MOISTURIZING CREAM marki AVA Laboratorium. Zgłoszenie dotyczyło partii o numerze 30323, a powodem interwencji było wykrycie skażenia bakteryjnego produktem Escherichia coli, co skutkowało wycofaniem produktu z rynku.

Produkt, sprzedawany w 50-mililitrowej plastikowej butelce i oznaczony kodem kreskowym 5906323004730, zawierał filtr przeciwsłoneczny SPF 25. Zgodnie z informacją zawartą w zgłoszeniu nr SR/02499/25, krem został zakażony bakterią Escherichia coli.

Escherichia coli (E. coli) to bakteria powszechnie występująca w jelitach ludzi i zwierząt, gdzie pełni ważną rolę w procesach trawiennych. Jednak niektóre szczepy tej bakterii mogą być chorobotwórcze i stanowić zagrożenie dla zdrowia. W przypadku kontaktu ze skórą – zwłaszcza uszkodzoną – lub błonami śluzowymi, jak oczy, mogą wywołać infekcje skórne, zapalenie spojówek, a nawet poważniejsze powikłania, takie jak zakażenia układu moczowego lub zatrucia ogólnoustrojowe. Obecność E. coli w produktach kosmetycznych świadczy o nieprawidłowościach w procesie produkcji lub niewystarczającej higienie, i jest poważnym naruszeniem norm bezpieczeństwa.

Europejskie służby uznały, że produkt nie spełnia wymogów Rozporządzenia w sprawie produktów kosmetycznych obowiązującego w UE. W związku z tym dystrybutor podjął działania, które obejmują całkowite wycofanie tej partii kremu z rynku. Decyzja weszła w życie 18 czerwca 2025 roku.

image
RAPEX Safety Gate

Zgłoszony produkt pochodzi z Polski. To kolejny przypadek, w którym unijny system ostrzegania zidentyfikował kosmetyk niespełniający norm mikrobiologicznych. System Safety Gate umożliwia szybkie informowanie o niebezpiecznych produktach konsumenckich i ułatwia ich usuwanie z obrotu na terenie całej Unii Europejskiej.

ZOBACZ KOMENTARZE (0)
StoryEditor
Prawo
04.07.2025 11:33
Polski Związek Przemysłu Kosmetycznego: Kosmetyki nie podlegają pod EUDR 2023/1115!
Sądzimy, że doprecyzowanie i wyjaśnienie zakresu stosowania EUDR w odniesieniu do kosmetyków ułatwi pracę m.in. sieciom handlowym, ponieważ zdejmie z nich obowiązek zbierania i przechowywania dokumentacji do dużej grupy produktów z portfolio sieci – mówi dr inż. Ewa Starzyk.Unsplash

Od 30 grudnia 2025 roku zacznie obowiązywać unijne rozporządzenie EUDR 2023/1115, którego celem jest przeciwdziałanie wylesianiu w związku z handlem międzynarodowym. Wiele firm z branży kosmetycznej z niepokojem przygląda się nowym regulacjom, obawiając się dodatkowych obowiązków dokumentacyjnych. Jednak – jak wynika z analizy Polskiego Związku Przemysłu Kosmetycznego – kosmetyki gotowe nie podlegają temu rozporządzeniu.

EUDR obejmuje wyłącznie wybrane grupy towarów, takie jak: bydło, kakao, kawa, olej palmowy, soja, drewno oraz kauczuk. Nowe przepisy mają zastosowanie jedynie do tych produktów oraz artykułów bezpośrednio z nich wytworzonych, których kody CN znajdują się w załączniku I do rozporządzenia. W przypadku, gdy produkt – jak kosmetyk – nie znajduje się w tym wykazie, nie są wobec niego nakładane żadne nowe obowiązki prawne wynikające z EUDR.

Mimo to, wiele podmiotów w branży kosmetycznej – w tym ich klienci – prosi o dokumenty potwierdzające zgodność kosmetyków z EUDR. Według dr inż. Ewy Starzyk, dyrektorki ds. regulacji i zrównoważonego rozwoju w Polskim Związku Przemysłu Kosmetycznego, zamieszanie wynika z niejednolitego zakresu stosowania rozporządzenia wobec różnych grup produktów. Na przykład czekolada jest objęta EUDR aż do etapu finalnego produktu, ale większość surowców, w tym używanych w kosmetykach, przestaje podlegać EUDR, jeśli po dalszym przetworzeniu otrzymują nowy kod CN.

Zgodnie z obowiązującym prawem UE, producenci kosmetyków funkcjonują jako „osoby odpowiedzialne” lub „dystrybutorzy” w rozumieniu rozporządzenia kosmetycznego 1223/2009, a nie jako „operatorzy” czy „handlowcy” w rozumieniu EUDR. Oznacza to, że nie mają oni obowiązku stosowania procedur należytej staranności, ani zbierania i przekazywania dokumentów potwierdzających zgodność z EUDR – zarówno w odniesieniu do gotowych produktów, jak i użytych komponentów czy opakowań.

Doprecyzowanie, że gotowe kosmetyki nie podlegają EUDR, może znacząco uprościć działanie wielu podmiotów w łańcuchu dostaw, w tym sieci handlowych. Jak zaznacza dr inż. Starzyk, wyłączenie tej kategorii produktów z obowiązków dokumentacyjnych powinno ułatwić zarządzanie asortymentem oraz zdejmie z firm obowiązek przechowywania i przetwarzania zbędnych informacji o zgodności produktów, które nie są objęte rozporządzeniem.

ZOBACZ KOMENTARZE (0)
08. lipiec 2025 10:11