Wyciek danych, który może kosztować miliony – czego uczy nas afera z Empikiem?

Incydenty związane z wyciekami danych osobowych coraz częściej stają się głównym tematem dyskusji o bezpieczeństwie cyfrowym, zwłaszcza gdy dotyczą dużych, rozpoznawalnych marek. W marcu 2025 roku światło dzienne ujrzały informacje o rzekomym wycieku danych około 24 milionów klientów serwisu empik.com, co wywołało falę niepokoju i pytań o skalę, przyczyny oraz potencjalne skutki tego problemu. Co tak naprawdę się wydarzyło?

Dane blisko 24 milionów klientów Empiku wyciekły? Czy empik.com jest bezpieczny?

Na początek przeanalizujmy skalę i charakterystykę domniemanego naruszenia.

Sensacyjna oferta na forum darknetowym

W weekend 22–23 marca 2025 r. na niszowym forum dla cyberprzestępców pojawiło się ogłoszenie o sprzedaży bazy danych zawierającej informacje na temat 24 785 190 klientów empik.com, wycenionej na kilkadziesiąt tysięcy dolarów. Sprzedający twierdzili, że dysponują pełnym katalogiem danych: imionami i nazwiskami, adresami e-mail, numerami telefonów oraz historią zamówień, w tym datami transakcji wraz z listą zamawianych produktów.

Eksperci otrzymali próbkę 57 rekordów, którą szybko odnieśli do wycieku danych z portfela Ledger z 2020 r., uzupełnionego informacjami o produktach Empiku pobranymi z publicznych katalogów. Tak powstała fałszywa baza była zatem jedynie zlepkiem starych wycieków i jawnie dostępnych danych, co czyniło ją bezwartościową z punktu widzenia kupującego.

---

---

Co wyciek oznaczałby dla klientów Empiku?

Zanim Empik zdementował informacje o naruszeniu, klienci zastanawiali się, jakie realne zagrożenia mogły wyniknąć z utraty kontroli nad swoimi danymi. Poniżej rozwijamy analizę konsekwencji dla użytkowników.

Spersonalizowane ataki phishingowe

Gdyby przestępcy weszli w posiadanie imion, nazwisk i szczegółów zamówień klientów, mogliby przygotować wyjątkowo przekonujące wiadomości phishingowe, odwołujące się do konkretnego profilu zakupowego ofiary, co zdecydowanie zwiększyłoby skuteczność takowych ataków.

Treść maili lub SMS-ów mogłaby zawierać takie informacje jak tytuł ostatnio zakupionej książki czy data ostatniej transakcji, wzbudzając fałszywe poczucie bezpieczeństwa i zachęcając do kliknięcia niebezpiecznego linku lub ujawnienia danych logowania. Spersonalizowane ataki phishingowe często przybierają formę powiadomień o problemach z płatnością lub konieczności potwierdzenia danych do wysyłki, co otwiera przestępcom drogę do przejęcia kont empikowych lub bankowych powiązanych z kontem.

Nawet sam numer telefonu pozwala hakerom stosować smishing (fałszywe SMS-y) lub vishing (podszywanie się pod infolinię), aby wyłudzić kody dwuetapowej weryfikacji i finalizując ataki socjotechniczne. Ofiary takich złożonych manewrów socjotechnicznych często tracą czujność, ponieważ ściśle dopasowane wiadomości wydają się pochodzić z autentycznego źródła i zawierają szczegóły, których na pierwszy rzut oka nie sposób zweryfikować.

Co wyciek oznaczałby dla Empiku?

Co grozi za wyciek danych? Kwestie techniczne były tylko jedną stroną medalu dla Empiku — większym wyzwaniem okazało się zarządzanie kryzysem wizerunkowym oraz identyfikacja źródeł dezinformacji.

Na początek Empik przystąpił do weryfikacji prawdziwości zdarzenia. Już pod koniec feralnego, marcowego weekendu  przedstawicielka Empiku przekazała money.pl, że klienci empik.com mogą być spokojni:

Natychmiast po identyfikacji potencjalnego zagrożenia zespół Empiku rozpoczął weryfikację podejrzeń wystąpienia incydentu bezpieczeństwa. Dziś możemy już z pewnością powiedzieć, że nie doszło do wycieku danych klientów z infrastruktury Empiku. Dane naszych klientów były i pozostają bezpieczne.

Stanowcze zdementowanie wycieku oraz udostępnienie wyników dochodzenia pomogły ograniczyć panikę w mediach społecznościowych i portalach branżowych. Empik uzupełnił przekaz raportem z audytu systemów. Co więcej, okazało się, że oferowana na sprzedaż baza została spreparowana wyłącznie w celu wyłudzenia pieniędzy:

Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com.

Przestępcy skorzystali z fragmentów autentycznych wycieków, np. z ataku na Ledger w 2020 roku, a publiczne katalogi Empiku posłużyły jako reszta fabuły. To klasyczne oszustwo „copy-paste” pokazało, jak łatwo można zbudować wiarygodnie brzmiącą, lecz fałszywą ofertę bez dostępu do chronionej infrastruktury.

Jakie kary mógłby ponieść Empik?

Gdyby faktycznie doszło do masowego wycieku, Empik znalazłby się w obliczu poważnych konsekwencji prawnych i finansowych.

Grzywny na podstawie złamania przepisów RODO

Zgodnie z postanowieniami RODO za naruszenie bezpieczeństwa danych osobowych UODO może nałożyć karę do 20 mln EUR lub do 4% rocznego obrotu globalnego, w zależności od tego, która kwota jest wyższa. Wysokość sankcji zależy od skali incydentu, liczby poszkodowanych i poziomu zaniedbań w zabezpieczeniach — wówczas odpowiedni organ przygląda się procedurom bezpieczeństwa i wcześniejszym zdarzeniom.

Obowiązek powiadomienia i zadośćuczynienia

Empik musiałby powiadomić UODO i 24 mln klientów w ciągu 72 godzin od wykrycia wycieku, co generuje koszty prawne, operacyjne i PR-owe. Co więcej, wiele firm oferuje poszkodowanym usługę monitoringu tożsamości lub ochrony kredytowej, co rodzi dalsze obciążenia finansowe dla przedsiębiorcy.

Straty wizerunkowe

Co trzeci Polak boi się wycieków danych osobowych, a utrata zaufania klientów często przekłada się na ich odpływ. Koszty związane z naprawą reputacji — kampanie PR, programy lojalnościowe czy inicjatywy CSR — mogą znacząco przewyższyć kwotę samej kary finansowej.

Jak chronić się przed wyciekiem danych jako przedsiębiorca?

Ochrona danych wymaga przemyślanego podejścia, zwłaszcza w firmach księgowych, które przetwarzają informacje wrażliwe. Warto podjąć następujące kroki:

• Polityka bezpieczeństwa informacji – warto stworzyć dokument opisujący zasady przetwarzania danych, zakres odpowiedzialności, procedury działania w sytuacjach awaryjnych i harmonogram audytów. W polityce najlepiej sprecyzować zasady tworzenia haseł, dostęp czasowy do systemów oraz proces eskalacji incydentów.
• Regularne audyty i testy – systematyczne testy penetracyjne i audyty wewnętrzne pozwalają wykryć luki w zabezpieczeniach, zanim zostaną one wykorzystane przez przestępców, dlatego wnioski z audytów należy wdrażać niezwłocznie.
• Szkolenia personelu – cykliczne szkolenia z rozpoznawania phishingu, zasad zarządzania hasłami i bezpiecznego korzystania z poczty e-mail znacząco obniżają ryzyko wycieku z winy pracownika.
• Szyfrowanie i zarządzanie dostępem – wdrożenie szyfrowania danych „w spoczynku” (data-at-rest) oraz podczas przesyłania (TLS/SSL) chroni je przed nieautoryzowanym przechwyceniem, natomiast zasada najmniejszych uprawnień (least privilege) i wieloetapowe uwierzytelnianie ograniczają liczbę osób z dostępem do kluczowych zasobów.
• Kopie zapasowe i plan DRP – regularne kopie zapasowe w odizolowanych lokalizacjach oraz testy procedur Disaster Recovery Plan pozwolą na szybkie przywrócenie działania systemów po incydencie.

Program do faktur jako sposób na bezpieczne zarządzanie danymi

Biura rachunkowe są coraz częściej ofiarami podobnych ataków do tych, jakie miał Empik. Niestety, ale do tej pory spora część z nich wciąż nie jest gotowa odpierać te ataki. Dzieje się to z tego powodu, że często brakuje czasu. A niekoniecznie tak musi być. Wystarczy wesprzeć się odpowiednim i sprawdzonym narzędziem, jakim jest aplikacja dla biur rachunkowych, która oferuje m.in. program do faktur. To najskuteczniejszy i najłatwiejszy sposób na ochronę danych klientów. W takie rozwiązania powinny być wyposażone w następujące funkcjonalności:

• Certyfikat ISO 27001 – potwierdzający wdrożenie międzynarodowych standardów zarządzania bezpieczeństwem informacji.
• Szyfrowanie SSL/TLS – gwarantujące ochronę danych w tranzycie oraz poufność dokumentów i płatności
• Zgodność z RODO i KSeF – automatyczne aktualizacje systemu zapewniające pełne wsparcie dla krajowego systemu e-faktur oraz przepisów o ochronie danych.
• Przechowywanie w chmurze z certyfikatem bezpieczeństwa – umożliwiające dostęp z dowolnego miejsca i urządzenia (PC, tablet, smartfon) przy zachowaniu wysokich standardów ochrony danych.
• Obsługa wielu walut – fakturowanie w PLN, EUR, USD, GBP i innych, przy zachowaniu bezpieczeństwa wymiany kursowej i zgodności fiskalnej.
• Profesjonalne wsparcie techniczne – dostępne przez telefon, e-mail i chat, pomagające szybko rozwiązać wszelkie problemy związane z bezpieczeństwem i konfiguracją.
• Automatyczne kopie zapasowe – przechowywane w odseparowanej infrastrukturze, umożliwiające szybkie odzyskanie danych w razie awarii lub ataku hakerskiego.
• Regularne audyty i aktualizacje – system musi być pod stałą kontrolą specjalistów, a kolejne wersje oprogramowania obejmują najnowsze poprawki bezpieczeństwa.

Dzięki tym funkcjom program dla biur rachunkowych zapewnia kompleksową ochronę danych finansowych, pozwalając biurom rachunkowym skupić się na obsłudze klientów, a nie na zarządzaniu infrastrukturą IT.

Sprawdź nasz ranking programów dla biur rachunkowych.

Baza danych dużo kosztuje

Chociaż przypadek Empiku okazał się mistyfikacją, to ten incydent unaocznił, jak ważna jest szybka weryfikacja, transparentna komunikacja kryzysowa i zaawansowane zabezpieczenia. Gdyby dane rzeczywiście wyciekły, klienci stawiliby czoła poważnym atakom phishingowym, kradzieży tożsamości i stratom finansowym, a Empik – surowym karom za naruszenia RODO oraz utracie zaufania publicznego. W dzisiejszych czasach każda firma, zwłaszcza w branży księgowej, powinna inwestować w procedury ochrony danych i korzystać z profesjonalnych rozwiązań takich jak Faktura.pl, które oferują wygodne rozliczenia zgodne z najwyższymi standardami ochrony danych.