Atak hakerski, który miał miejsce 17 marca 2025 roku, jednak spowodował wyciek danych części klientów, a także pracowników i kontrahentów. Firma poinformowała o naruszeniu dopiero po 3 tygodniach.
Jednak wyciekły dane klientów z systemów Smyka
Stało się coś, czego się obawialiśmy… Popularna sieć sklepów, oferująca przede wszystkim produkty dla dzieci, padła ofiarą ataku hakerskiego, w trakcie którego wykorzystano złośliwe oprogramowanie szyfrujące. Atak miał miejsce 17 marca 2025 roku i ograniczył działalność sklepów Smyk. Klienci m.in. nie mogli odbierać zamówionych przesyłek w sklepach stacjonarnych, wydłużyły się też terminy dostaw na wybrany adres, a dodatkowo utrudnienia objęły również program lojalnościowy.
Kontaktowaliśmy się z biurem prasowym Smyka w tej sprawie, próbując dowiedzieć się, czy doszło do wycieku danych. W odpowiedzi otrzymaliśmy m.in. informację o nieustannym monitorowaniu sytuacji oraz deklarację, że jeśli „trwające prace wykazałyby, że zaistniało ryzyko naruszenia bezpieczeństwa danych, niezwłocznie poinformujemy o tym naszych klientów oraz przekażemy im odpowiednie rekomendacje i zalecenia”.
Teraz, po upływie trzech tygodni od ataku hakerskiego, nasze obawy o wyciek danych się potwierdziły. Sieć handlowa opublikowała kolejny komunikat dla klientów, w którym przedstawia „wstępne wyniki analizy przebiegu oraz zakresu zaistniałego incydentu”. Co się okazało?
Wstępna analiza i informacja o wycieku danych klientów Smyka pojawia się dopiero 3 tygodnie od ataku
Smyk wreszcie przyznał, że ustalenia zewnętrznych ekspertów ds. cyberbezpieczeństwa potwierdziły, iż doszło do naruszenia bezpieczeństwa części danych. Jak zaznaczono w komunikacie, dotyczy to danych niektórych klientów, którzy korzystali z procesu zwrotów i reklamacji. Firma nie przekazuje informacji o zakresie i wielkości narażonej grupy klientów oraz danych, jakie mogły zostać naruszone.
Ponadto wyciek objął również część danych pracowników Grupy Smyk oraz niektórych reprezentantów kontrahentów i partnerów biznesowych. Na ten moment system i sklep działają już w pełni normalnie, a zamówienia są realizowane bez zakłóceń.
Smyk, zgodnie z wymogami regulowanymi prawnie, zobowiązał się do poinformowania wszystkich osób, których dane zostały naruszone. Sprawa została też przekazana w ręce Prezesa Urzędu Ochrony Danych Osobowych i do odpowiednich organów ścigania, a postępowanie wyjaśniające nadal jest w toku. Firma oświadczyła również, że po ataku wzmocniła zabezpieczenia informatyczne i wdrożyła dodatkowe środki ochrony danych.
Sieć handlowa przekazała też kilka informacji Polskiej Agencji Prasowej. Okazuje się między innymi, że większość wykradzionych danych obejmuje pliki związane z produkcją odzieży oraz projekty graficzne.
