allegro wyciek prywatność
potrzebujesz 10 minut na przeczytanie

Kupujesz na Allegro? Twoje dane wyciekają

Dane osobowe wielu kupujących masowo wyciekają. Sprawdź w jaki sposób się to odbywa i co możesz zrobić, żeby się zabezpieczyć. Czasami naprawa skrajnie zepsutego systemu wymaga radykalnych kroków.
Kupujesz na Allegro? Twoje dane wyciekają
skomplikowany system rur zawsze zwiększa szanse na wyciek, źródło: unsplash/spacexuan

Spis treści

  1. Wyciek z BabyHit
  2. Wątek Allegro
  3. Skomplikowany system rur
  4. Nie kupowałem w tym sklepie, to mnie nie dotyczy
  5. Jak się zabezpieczyć?
    1. Czy to legalne?
    2. Jakie dane podawać w Allegro?
    3. Dane potrzebne do skorzystania z Paczkomatu
  6. Skala problemu
  7. Rynek handlu wyciekami
  8. Czy moje dane wyciekły?
  9. Mnie to nie dotyczy, żaden przestepca się mną nie zainteresuje

Na wstępie musimy zaznaczyć, że źródłem wycieków nie jest sama platforma Allegro, tylko zewnętrzne systemy używane przez sprzedawców. A Allegro robi sporo, żeby temu przeciwdziałać. Jednak efekt jest ten sam - pewien procent zakupów na tej platformie spowoduje wyciek Twoich danych.

Motywacją do powstania niniejszego artykułu był wyciek danych z sieci sklepów BabyHit (nazwa nie ma nic wspólnego z przemocą, chodzi o akcesoria dla dzieci i ich rodziców), który został zaobserwowany przez Oskara Klimczuka i opisany na łamach portalu cyberdefence24, w wyniku którego upubliczniono dane setek tysięcy osób robiących tam zakupy. Jednak problem, na którym dzisiaj się skupiamy nie dotyczy jedynie tego przypadku, a jego skala jest dużo większa. Ponadto, spora część osób dotknięta wyciekiem mogła nie być świadomymi klientami tego sklepu. Dlaczego - wyjaśniamy poniżej.

Jeżeli interesuje Cię jedynie aspekt poprawy Twojego bezpieczeństwa, kliknij »tutaj« - przeniesiesz się do drugiej części artykułu.

Wyciek z BabyHit

13 marca 2025 na jednym z forów przestępczych pojawił się wyciek danych klientów sklepu BabyHit, zawierający prawie 800 tysięcy wpisów. Dostępny do pobrania przez każdego zainteresowanego, za darmo. Udostępniony plik csv (excel) nie zawiera haseł, jednak wciąż znajdują się tam bardzo cenne dane. Dane osobowe.

Wyciekły m.in. imię i nazwisko, adres, numer telefonu, a także mail klientów sklepu.

Ten plik to po prostu wielka książka adresowa. Tego typu wycieki są zbierane przez przestępców i kompilowane w większe zbiory. Przy odpowiedniej skali, w takiej bazie da się znaleźć szczegółowe informacje o niemalże dowolnej osobie prowadzącej chociażby umiarkowane życie cyfrowe - np. dokonującej zakupów w Internecie kilka razy w roku. Usługi przeszukiwania takich zasobów są powszechnie dostępne i tanie w użyciu.

Według osoby odpowiedzialnej za atak/wyciek, dane pochodzą ze starej i zapomnianej wersji sklepu, która nadal była dostępna z poziomu internetu. Jednak nasza analiza OSINT nie wykazała tego, że firma posiada tego typu zapomniany serwis. Co więcej, dane mogą niekoniecznie pochodzić z systemu samego sklepu internetowego - ten korzysta z platformy IdoSell (dawniej IAI Shop). Dane te mogą pochodzić z oprogramowania służącego co zarzadzania stanem magazynowym lub wysyłką paczek. Jednym z ogniw długiego łańcucha e-commerce.

Wątek Allegro

Z analizy adresów email znajdujących się w wycieku wynika, że najpopularniejszy “dostawca poczty” użytkowników to AllegroMail - odpowiada za przeszło 47% rekordów. Skąd biorą się te dziwne adresy mailowe?

Domena maila Ilość wystąpień
allegromail.pl 370948
gmail.com 182166
wp.pl 67365
o2.pl 23833
seznam.cz 19969
interia.pl 15708
op.pl 11235
onet.pl 9156
yahoo.com 4774
vp.pl 4739

W marcu 2019r. Allegro wprowadziło system maskowanej korespondencji pomiędzy wszystkimi użytkownikami platformy. Od tego czasu żadna ze stron transakcji nie zna prawdziwego adresu email drugiej strony.

Sprzedawca otrzymuje adres kontaktowy kupującego w formie [email protected] - gdy wyśle wiadomość na taki mail, zostanie ona przekazana przez serwery Allegro, a na końcu dostarczona na prywatną skrzynkę kupującego i będzie widniała jako wysłana z [email protected].

Kupujący może odpowiedzieć na taką wiadomość, a ta odwrotną drogą trafi do sprzedającego. Więcej o zasadzie działania możesz przeczytać tutaj.

przykładowy mail przesłany przy użyciu allegromail przykładowy mail przesłany przy użyciu AllegroMail, źródło: help.allegro.com

Wprowadzenie tego typu zabezpieczenia było słusznym krokiem. Allegro dzięki temu minimalizuje ryzyko wycieku adresu email zarówno kupujących, jak i sprzedających. Ma także możliwość filtrowania treści wiadomości, co może zapobiegać scamom ukierunkowanym w użytkowników platformy. Możliwe jest również dokładne dokumentowanie korespondencji, co może być używane m.in. podczas rozwiązywaniu sporów.

Skomplikowany system rur

Ale skąd w samodzielnym sklepie internetowym znalazły się maile użytkowników Allegro? Odpowiedź jest prosta - integracja wielu systemów w jeden. A niestety, w naczyniach połączonych, mały wyciek może być ogromny w skutkach.

podpowiedzi Google dla wyszukiwania "integracja ecommerce z ...", odpowiedź: allegro z czym ludzie chcą integrować swoje sklepy internetowe?

W wielu przypadkach, dokonując zakupu przez Allegro, Twoje dane są eksportowane do zewnętrznych narzędzi. Przykładem może być integracja ze sklepem internetowym. Kupując na Allegro, twój zakup jest odnotowywany w systemie sklepu w podobny sposób, jak gdybyś zakupy zrobił bezpośrednio w nim, przez co dane zostaną zapisane w zewnętrznej bazie danych. A te czasem wyciekają.

Ponadto w e-commerce stosuję się m.in. systemy zarządzania wysyłką i stanem magazynowym, obsługi klienta, obsługi zwrotów, analityczne, raportowe i inne. Wszystkie te systemy muszą być ze sobą połączone i często wymieniają się większą ilością informacji, niż powinny.

Każdy pojedynczy zakup może spowodować zapisanie Twoich danych osobowych w kilku różnych systemach. Przemnóż to przez ilość zakupów od różnych sprzedawców.

Nie kupowałem w tym sklepie, to mnie nie dotyczy

Jeżeli wydaje Ci się, że nie dokonywałeś zakupów w sklepie BabyHit, oznacza to, że nie zrobiłeś tego. A przynajmniej świadomie. Załóżmy, że nie masz dziecka. Nie kupowałeś laktatora, wózka, ani pieluch.

Ale może kiedyś szukałeś innych przedmiotów, ustawiłeś sortowanie po cenie rosnąco, wybrałeś najtańszą ofertę i bez większego zastanowienia sfinalizowałeś transakcję?

Sklep sprzedaje m.in. nawilżacz powietrza, używany projektor multimedialny, bezdotykowy termometr, wiele gier planszowych, albo waciki.

Jak się zabezpieczyć?

Około połowa zamówień złożonych w sklepie BabyHit dokonanych przez Allegro została wysłana na Paczkomaty Inpost. Jest to bardzo wygodna forma zakupu, z wielu względów.

Jeżeli też korzystasz z Paczkomatów - wystarczy prosta zmiana nawyków, która zadba o Twoją prywatność:

Podawaj fałszywe dane! Wszędzie tam, gdzie możesz.

Do realizacji zakupu przez Allegro z wysyłką na Paczkomat nikt nie potrzebuje znać Twojego prawdziwego imienia i nazwiska, prywatnego numeru telefonu i miejsca zamieszkania. Nie podawaj ich i chroń swoją prywatność, skoro sprzedawcy nie będą zdolni do takiej ochrony. Nie jest to atak w stronę BabyHit. Wycieki się zdarzają każdemu. A jeżeli sortujesz po cenie, za każdym razem zwiększasz szanse na wyciek swoich danych.

Pamiętaj, że tego typu ochrona nie działa retroaktywnie, a dane najczęściej wyciekają po pewnym czasie - w przypadku BabyHit były to ponad 3 lata. Im wcześniej zaczniesz, tym lepiej dla bezpieczeństwa Ciebie i Twojej rodziny.

Czy to legalne?

Jeżeli jesteś kupującym, według nas - tak. Ale nie jest to porada prawna. Ma to również służyć jedynie poprawie Twojego osobistego bezpieczeństwa i nie jest to instrukcja popełniania przestępstw podatkowych. Krok jest radykalny - ale spójrzmy prawdzie w oczy - to jedyny sposób na ochronę przed wyciekiem danych.

Bo one prędzej czy później wyciekną i lepiej, żeby nie były Twoje.

Allegro przynajmniej 3 razy w swoim regulaminie powołuje się na konieczność podawania prawdziwych danych osobowych. Za niezastosowanie się do tych wymogów Allegro przewiduje ograniczenie dostępu do usług. Jeżeli wykryją taką sytuację :)

Od strony prawnej - jeśli podanie fałszywych danych prowadzi do wyłudzenia mienia lub wyrządzenia szkody majątkowej, może zostać uznane za oszustwo (art. 286 § 1 Kodeksu karnego). Nie kradnij, a będzie dobrze.

Podszywanie się pod inną osobę w celu wyrządzenia jej szkody majątkowej lub osobistej jest zagrożone karą pozbawienia wolności do lat 3. Nie podszywaj się pod konkretną prawdziwą osobę (art. 49 UODO). Definitywnie również nie działaj na jej szkodę (art. 190a § 2 Kodeksu karnego), a będzie dobrze.

Z praktycznego punktu widzenia jednak mogą wystąpić pewne utrudnienia. Jeżeli podasz fałszywy numer telefonu, a sprzedawca będzie się chciał z Tobą skontaktować, pojawi się problem. Jeżeli zakupiony produkt będzie zbyt duży dla paczkomatu, może się zdarzyć, że sprzedawca bez pytania zamiast na Paczkomat, przedmiot wyśle kurierem na podany adres domowy. Ale są to rzadkie sytuacje, z którymi można sobie poradzić podając dodatkowe instrukcje do zamówienia.

Jakie dane podawać w Allegro?

Przy zakładaniu konta możesz podać dane fałszywe. Takie, które nie należą do żadnej konkretnej istniejącej osoby. Niech również będą wiarygodne. Te dane domyślnie są przekazywane sprzedąjącym.

Jan Kowalski, Ulica 1, 00-000 Warszawa

To zły przykład, który nie budzi zaufania. Sprzedawca może odmówić realizacji zamówiania na takie dane.

Zbigniew Sobczak, Jagiellońska 13/285, 85-067 Bydgoszcz

To dobry przykład. Taka osoba prawdopodobnie nie mieszka pod tym adresem. Pod numerem 13 nie znajduje się lokal 285. Ale adres jest prawie poprawny, a ponadto kod pocztowy jest zgodny z numerem ulicy (został pobrany z Google Maps).

Pamiętaj, że w określonych przypadkach sprzedawca może być zmuszony do udostępnienia tych danych organom publicznym. Nie ma powodu, żeby nadmiernie śmiecić w jego księgach.

Dane potrzebne do skorzystania z Paczkomatu

Aby odebrać paczkę z Paczkomatu Inpost musimy podać numer telefonu i sześciocyfrowy kod obioru. Ten przychodzi zarówno na mail, jak i numer telefonu (w postaci sms lub w aplikacji Inpost, po zweryfikowaniu numeru).

W minimalnej postaci, kod możesz zdobyć z samego Allegro - zostanie on wyświetlony przy zamówieniu, gdy paczka dotrzę do Paczkomatu. Dostaniesz go również na email.

Na podany numer telefonu Inpost spróbuje wysłać sms z kodem. Numer nie musi być aktywny, ale musi być w Twoim posiadaniu - w ten sposób unikniesz podszywania się pod istniejącą osobę i nie będziesz jej nękał niepotrzebnymi smsami. Wystarczy, że zakupisz starter do dowolnej sieci na stacji paliw, kiosku lub sklepie spożywczym. Powiedz “bez rejestracji” - zapłacisz 5zł i dostaniesz kartę sim z nieaktywnym numerem, który pozostanie w Twojej dyspozycji aż do jego wygaśniecia i powrotu do puli numerów wolnych (a następnie wydanych kolejnemu klientowi).

Datę aktywności numeru sprawdzisz na odwrocie starteru, będzie wydrukowana na naklejce. W razie problemów - w dowolnym momencie trwania tego okresu będziesz mógł zarejestrować numer i korzystać z niego w regularny sposób. Dokonasz tego w dowolnym w.w. punkcie sprzedaży (nawet po wielu miesiącach od zakupu) lub przez internet.

Możesz również od razu zarejestrować dodatkowy numer, aktywować go w aplikacji Inpost, a następnie schować do szuflady. Zanotuj sobie jednak jego datę przydatności. Po tym czasie, numer wróci do puli wolnych numerów.

Skala problemu

Wycieki wielu sklepów internetowych (tych integrujących się z Allegro też) mają miejsce cały czas. Ciężko podać konkretną statystykę. Tym bardziej, że na każdy w pełni publiczny i darmowy (jak BabyHit) wyciek przypada wiele tych, którymi handluje się w zamkniętych grupach.

Żródłem wycieków są zautomatyzowane ataki SQL Injection, exploitacje nieaktualizowanych wtyczek do popularnych systemów e-commerce (prestashop, woocommerce, wordpress - z odpowiednimi modułami, etc), próby logowania do panelu administracyjnego prostymi hasłami. Prestępcy, jak wszyscy przedsiębiorcy, muszą się stale wysilać, żeby zarobić. Ten proces odbywa się w każdej chwili, na bardzo dużą skalę.

Po odpowiednim przetworzeniu wycieknięte bazy danych kompilowane są w listy email+hasło. Dane w takim przypadku pochodzą z wielu różnych źródeł, a ich oryginalne pochodzenie jest trudne do określenia. Dlatego też poszczególne wycieki nie otrzymują należytej uwagi opinii publicznej, o ile w ogóle taka informacja się pojawia.

Rynek handlu wyciekami

To za dużo na jeden artykuł, ale przygotowujemy materiały na kolejny.

Zapamiętaj jednak, że jeżeli ktoś chce zdobyć Twoje dane, konkretnie Twoje, to je zdobędzie za drobną opłatą.

ogłoszenie sprzedaży "książki telefonicznej" na forum przestępczym, zawiera 16 milionów numerów oferta sprzedaży danych na forum przestępczym, istnieje możliwość odpytywania o konkretne osoby, bez zakupu całej bazy

Czasami przestępcy nie celują w żadną konkretną osobę i po prostu skupują masowo dane. A wtedy dzwoni do Ciebie Klara Sobieraj z ofertą instalacji fotowoltaiki, albo pragnie zaprosić na pokaz materacy ortopedycznych lub innych szwajcarskich garnków.

Czy moje dane wyciekły?

Najlepiej zapisz swój adres email w HaveIBeenPwned i w pełni polskim projekcie Bezpieczne Dane. Obie usługi są darmowe i beż żadnego wysiłku uzyskasz odpowiedź na to pytanie. Pamiętaj jednak, że media są szybsze od tych podmiotów w pozyskiwaniu informacji o wyciekach. Weź pod uwagę opóźnienia operacyjne.

Mnie to nie dotyczy, żaden przestepca się mną nie zainteresuje

Jeżeli chcesz zmienić swoje zdanie, obserwuj nasze treści. Wkrótce wyjaśnimy dlaczego się mylisz.

A także pamiętaj:

Podawaj fałszywe dane! Wszędzie tam, gdzie możesz.

Related

Zobacz inne wpisy oznaczone jako allegro
smyk wyciek ransomware

Ransomware w sieci sklepów SMYK

Sieć sklepów SMYK, specjalizująca się w artykułach dla dzieci, padła ofiarą oprogramowania szyfrującego. Co to oznacza i jakie może przynieść skutki - opisujemy w artykule