O pojawieniu się oferty sprzedaży danych prawie 25 mln użytkowników Empiku poinformował w sobotę przed południem serwis Zaufana Trzecia Strona, specjalizujący się w tematyce cyberbezpieczeństwa.
– Sprzedający opublikował próbkę danych, która wygląda wiarygodnie. Niestety nie wygląda to na fałszywkę / oszustwo – zaznaczyła Zaufana Trzecia Strona na platformie X.
Do jej wpisu szybko odniosło się biuro prasowe Empiku. – Mamy oczywiście świadomość tej sytuacji. Ochrona danych naszych klientów jest bezsprzecznie naszym priorytetem, dlatego natychmiast zareagowaliśmy i od godzin porannych weryfikujemy podejrzenia wystąpienia incydentu bezpieczeństwa. Współpracujemy również w tej sprawie z CERT – poinformowano.
Kilka godzin później Empik przekazał, że chociaż weryfikacja trwa dalej, firma może już stwierdzić, że zdecydowana większość z udostępnionych w próbce w rzekomym incydencie danych nie występuje w jej systemach.
– Co więcej, format danych kontaktowych z udostępnionej próbki nie jest spójny z formatem obowiązującym w wykorzystywanych przez nas wewnętrznych systemach. Ponadto znaczną część opublikowanej próbki danych stanowi lista produktów z katalogu Empik.com – są to informacje powszechnie dostępne, niezwiązane w żaden sposób z historią zakupów czy konkretnymi użytkownikami – opisała firma.
Zaznaczyła, że wśród owych danych nie znalazły się hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze. – Jednocześnie pragniemy podkreślić, że zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych – dodał Empik.
Empik: nie doszło do wycieku
Natomiast w niedzielę rano Empik przekazał, że w efekcie weryfikacji może zapewnić, że nie doszło do wycieku danych klientów z jego infrastruktury. – Dane naszych klientów były i pozostają bezpieczne – podkreśliła firma.
– Wielogodzinna analiza i zgromadzone informacje potwierdziły, że oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem. Według naszej wiedzy powstała ona na bazie historycznie występujących wycieków danych z innych firm (nie z bazy Empik), a także na podstawie ogólnodostępnych informacji, takich jak lista produktów z oferty Empik.com – opisała.
Empik podziękował „zespołowi ekspertów CERT za wsparcie w całym procesie i bardzo sprawną współpracę”.
Serwis internetowy Empiku od dawna jest w czołowej dziesiątce najpopularniejszych platform e-commerce. W lutym 2025 roku przyciągnął 8,23 mln internautów, każdego przeciętnie na 4 minuty i 57 sekund (dane z Mediapanelu).
Firma od kilku lat oferuje usługę subskrypcyjną Empik Premium, obejmującą m.in. darmowe dostawy zakupów internetowych o wskazanej wartości, oraz platformę streamingową Epmik Go (głównie z e-bookami i audiobookami).
