Co się wydarzyło – atak na platformę Sky-Shop
Zgodnie z komunikatami platformy Sky-Shop, 19 października 2025 r. doszło do nieautoryzowanego dostępu do systemu, a wyprowadzenie danych stwierdzono 28 października 2025 r. Luka została usunięta po wykryciu incydentu, co oznacza, że obecnie prawdopodobnie nie ma ryzyka dalszego wycieku danych.
Skala ataku jest jednak bardzo duża – według dostępnych informacji mógł on dotyczyć nawet 9 000 sklepów internetowych działających w oparciu o platformę Sky-Shop.
Jakie dane mogły zostać ujawnione?
Sky-Shop.pl prowadzi obecnie szczegółową analizę incydentu. W oficjalnym komunikacie wskazano, że wykradzione dane obejmowały informacje o klientach, którzy posiadali konta w sklepach opartych na tej platformie.
Zakres ujawnionych danych może obejmować:
- imiona i nazwiska klientów,
- adresy e-mail,
- numery telefonów,
- adresy dostawy,
- dane z faktur,
- hasła w formie zahashowanej (szyfrowanej) przy użyciu algorytmu SHA-512.
Choć hasła nie były przechowywane w formie otwartej, zakres ujawnionych danych jest znaczący i może posłużyć do różnego rodzaju nadużyć – od prób wyłudzeń phishingowych po kradzież tożsamości.
Obowiązki administratora danych po wycieku (RODO)
Jeśli Twój sklep internetowy działa w oparciu o Sky-Shop.pl, w pierwszej kolejności sprawdź skrzynkę e-mail – właściciele sklepów, których dotyczy incydent, powinni otrzymać od Sky-Shop stosowną informację.
Pamiętaj jednak, że mimo iż atak został przeprowadzony na serwery Sky-Shop.pl, to Ty – jako administrator danych – ponosisz odpowiedzialność za realizację obowiązków wynikających z RODO. Ich zignorowanie może skutkować karą sięgającą nawet 20 000 000 euro lub 4% rocznego obrotu.
W ocenie Kancelarii Legitimate, biorąc pod uwagę zakres danych, incydent niewątpliwie stanowi naruszenie ochrony danych osobowych, co oznacza, że właściciele sklepów powinni:
- zgłosić naruszenie do UODO – zgodnie z art. 33 RODO (w terminie 72 godzin od jego stwierdzenia),
- poinformować osoby, których dane zostały naruszone, czyli wszystkich Klientów w swojej bazie – zgodnie z art. 34 RODO.
Nie zwlekaj z przygotowaniem tych zgłoszeń – komunikaty do klientów muszą być nie tylko zgodne z przepisami, ale też czytelne i zrozumiałe. Brak przejrzystości = panika wśród klientów. A do tego, potencjalna odpowiedzialność finansowa Twojej firmy.
Warto rozważyć również:
- utworzenie dedykowanego adresu e-mail lub infolinii dla klientów w tej sprawie,
- publikację oficjalnego komunikatu na stronie sklepu.
Takie działania odciążą standardowe kanały kontaktu i pokażą, że Twoja marka działa odpowiedzialnie i transparentnie.
Jakie ryzyka grożą sklepom i klientom Sky-Shop?
Dla klientów skutki ataku mogą być bardzo poważne. W szczególności istnieje ryzyko:
- phishingu, spoofingu i innych ataków socjotechnicznych – im więcej danych przestępcy znają, tym łatwiej podszyć się pod zaufane źródła,
- prób przejęcia kont użytkowników – szczególnie jeśli te same hasła były używane w różnych serwisach (nawet hasła szyfrowane mogą z czasem zostać złamane).
Właściciele sklepów muszą również liczyć się z możliwością roszczeń cywilnych ze strony klientów. Wciąż jednak zbyt mało wiadomo o szczegółach ataku, by przesądzać o zasadności takich roszczeń.
Jak Kancelaria Legitimate może pomóc
Jeśli Twój sklep został dotknięty skutkami cyberataku na Sky-Shop – możemy Ci pomóc.
Kancelaria Legitimate od lat wspiera firmy w sytuacjach kryzysowych: po wyciekach danych, atakach hakerskich i incydentach bezpieczeństwa.
W ramach naszej pomocy:
- przygotujemy zgłoszenie naruszenia do UODO,
- opracujemy czytelne komunikaty do klientów,
- będziemy Cię reprezentować w kontaktach z organami i osobami poszkodowanymi,
- po ustabilizowaniu sytuacji przeprowadzimy audyt bezpieczeństwa danych i szkolenie z cyberbezpieczeństwa dla Twojego zespołu.
Dzięki doświadczeniu naszych prawników pomożemy Ci przejść przez kryzys z minimalnymi stratami wizerunkowymi i prawnymi.
FAQ
Najczęściej zadawane pytania
Czy muszę zgłosić wyciek danych, jeśli korzystam z platformy Sky-Shop?
Tak. Nawet jeśli atak dotyczył infrastruktury Sky-Shop, a nie Twojego sklepu bezpośrednio, to Ty jako właściciel sklepu internetowego jesteś administratorem danych osobowych swoich klientów.
Zgodnie z RODO, każdy administrator ma obowiązek ocenić, czy doszło do naruszenia ochrony danych osobowych, a jeśli tak – zgłosić incydent do UODO w ciągu 72 godzin od momentu jego stwierdzenia (art. 33 RODO).
W praktyce oznacza to, że powinieneś:
- zweryfikować komunikat od Sky-Shop i zakres danych Twoich klientów,
- przeprowadzić własną analizę ryzyka (impact assessment),
- złożyć zgłoszenie do UODO, jeśli wyciek może skutkować naruszeniem praw lub wolności osób fizycznych.
Brak reakcji może zostać potraktowany jako niedopełnienie obowiązków administratora danych – nawet jeśli źródłem incydentu był dostawca platformy.
Co grozi sklepowi internetowemu za brak zgłoszenia naruszenia RODO?
Brak zgłoszenia naruszenia ochrony danych do UODO w wymaganym terminie może mieć poważne konsekwencje.
Zgodnie z RODO, za niepoinformowanie organu nadzorczego o naruszeniu grozi administracyjna kara pieniężna.
UODO może również:
- wszcząć postępowanie wyjaśniające,
- nałożyć obowiązek wdrożenia dodatkowych środków bezpieczeństwa,
- a w skrajnych przypadkach – upublicznić informację o naruszeniu, co dodatkowo szkodzi reputacji marki.
Dlatego każdy sklep internetowy, który korzysta z platformy Sky-Shop lub innych rozwiązań SaaS, powinien traktować ten obowiązek priorytetowo i zgłosić incydent jak najszybciej po jego stwierdzeniu.