E-dym.pl to sklep, który prowadzi sprzedaż przez #Internet oraz w punktach stacjonarnych. Jest też bezpośrednim importerem e-papierosów i akcesoriów. 1 czerwca miała wystartować od dawna zapowiadana promocja. W ten sposób chciano uczcić szóste urodziny E-dymu. Wielu ludzi specjalnie układało sobie grafik dnia, żeby tylko udało się złożyć zamówienie. Niestety cała sprawa przerosła sklep.

Baza danych ogólnodostępna

Po południu osoby, które chciały wejść na stronę E-dym.pl, zamiast dokonać zakupów, mogły ściągnąć bazę danych klientów, która w żaden sposób nie była zabezpieczona. Część osób odwiedzających wtedy stronę ściągnęła ją na dysk. Potwierdzają, że baza jest autentyczna, ponieważ znaleźli tam własne dane: imię, nazwisko, adres, numer telefonu, hasło, login, ostatnie zamówienia. Niektórzy wspominają nawet o numerze konta. Nie wiadomo, ilu osób dane mogły trafić w niepowołane ręce. Jeśli wierzyć nazwie pliku, to wyciekły dane wszystkich, którzy zarejestrowali się na stronie do 1 sierpnia 2014. Istnieje również prawdopodobieństwo, że znajdują się tam dane konta administratora, za pośrednictwem którego można się dostać do aktualnej bazy danych. Są różne przypuszczenia, jak mogło do tego dojść. Mówi się o zaniedbaniach ze strony sklepu. Jest też opcja, że to sami użytkownicy poprzez "ciągłe odświeżanie strony, zasymulowali atak DDoS na stronę. W efekcie strona wyświetlała katalog strony www, w której znajdował się między innymi backup bazy danych z sierpnia 2014".

Ochrona danych osobowych

Dane osobowe podlegają ścisłej ochronie. Sklep, który wczoraj prawdopodobnie dopuścił do ich wycieku, ma w swoim regulaminie odpowiedni zapis: "Dane osobowe umieszczone w bazie danych sklepu są przetwarzane wyłącznie dla jego potrzeb, nie są i nie będą też udostępniane innym podmiotom. Dane te są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione". Niestety z tego punktu E-dym.pl się nie wywiązał. Dane wielu klientów trafiły w niepowołane ręce. W sieci pojawiły się już oferty sprzedaży wspomnianej bazy. Jest to oczywiście nielegalne. Zgodnie z prawem za przetwarzanie danych osobowych, do których nie jest się uprawnionym, grozi kara ograniczenia lub pozbawienia wolności do lat dwóch.

Co na to sklep?

W dniu 1 czerwca 2015 roku przedstawiciele sklepu nie potwierdzili ani nie zaprzeczyli możliwości wycieku danych swoich klientów. Około godziny 14 E-dym.pl zamieścił na Facebooku informację o ogólnokrajowej awarii usługodawcy hostingu. Problem w tym, że o rzekomej awarii nikt nie słyszał. Nie wiadomo, czy naprawdę miała ona miejsce. Wśród klientów sklepu panuje istna burza. Jedni zapowiadają, że sprawę zgłoszą do GIODO. Zarzekają się, że już nigdy więcej nie zrobią tam zakupów. Są też tacy, którzy bronią sklepu. Jako główny argument podają niskie ceny. Utrzymują, że takie "potknięcie" nie powinno mieć wpływu na lojalność klientów. Do osób, którzy są w posiadaniu bazy, padają prośby o sprawdzenie, czy w bazie są konkretne dane. Ludzie chcą się upewnić, czy wyciekły o nich informację. Atmosfera wokół całej sprawy jest bardzo napięta i pełna niewiadomych.

Należy pamiętać, że istnieje ryzyko, że hasła i loginy dostały się w niepowołane ręce. Dlatego należy niezwłocznie zmienić hasło w każdym serwisie, w którym używało się tego samego co w sklepie internetowym E-dym.pl.

2 czerwca 2015 roku E-dym.pl opublikował kolejne oświadczenie na Facebooku. Sklep potwierdza w nim, że doszło do wycieku danych klientów i zapewnia swoim klientom rekompensatę z powodu zaistniałej sytuacji.

Źródło: #Facebook, E-dym.pl, e-papierosy-forum.pl, zaufanatrzeciastrona.pl, giodo.gov.pl #skandal