Oferta
O nas
Blog
Case studies
Kariera
Kontakt
PLEN

Rzekomy wyciek danych klientów Empiku. Co naprawdę wydarzyło się w marcu 2025 roku?

Rzekomy wyciek danych klientów Empiku. Co naprawdę wydarzyło się w marcu 2025 roku?
Powrót
24 marca 2026
|
5 min.
Cyberbezpieczeństwo
Gabriela Kogut
Gabriela Kogut

W sobotnie południe 22 marca 2025 roku polska społeczność zajmująca się cyberbezpieczeństwem wstrzymała oddech. Na jednym z popularnych forów cyberprzestępczych pojawiło się ogłoszenie o sprzedaży bazy danych rzekomo zawierającej informacje o niemal 25 milionach klientów Empiku.

Informacja w błyskawicznym tempie obiegła media społecznościowe i portale branżowe, wywołując falę niepokoju wśród milionów użytkowników jednej z największych polskich platform e-commerce. Zanim jednak pojawiły się pierwsze komentarze o „katastrofie dla polskiego e-handlu”, uruchomiła się lawina weryfikacji, analiz i oficjalnych komunikatów, która ostatecznie przyniosła zaskakujące rozstrzygnięcie.

Najważniejsze informacje

  • 22 marca 2025 roku na nielegalnym forum pojawiła się oferta sprzedaży bazy zawierającej 24 785 190 rekordów rzekomo należących do klientów Empik.com
  • Plik miał ważyć 47 GB i być wyeksportowany w formacie JSON
  • Opublikowana próbka danych składa się ze sklejonych informacji: ze starego wycieku innej firmy, danych całkowicie zmyślonych oraz danych pobranych ze strony firmowej
  • Wśród 57 zestawów danych rzeczywiście odnaleziono dane klientów Empik.com, ale łączy je jedno: wszystkie są ofiarami naruszenia z 2020 roku dotyczącego firmy Ledger oferującej portfele kryptowalutowe
  • W bazie nie znalazły się hasła, hashe haseł, prawdziwa historia zakupów ani dane płatnicze; Empik nie przechowuje numerów kart płatniczych zgodnie z normą PCI DSS
  • Oferowana na sprzedaż baza okazała się nieprawdziwa i została wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem
  • Dane klientów Empiku były i pozostają bezpieczne

Spis treści:

  1. Sobota 22 marca – jak zaczął się alarm?
  2. Pierwsze sygnały, że coś się nie zgadza
  3. Wielogodzinna analiza i jednoznaczne wnioski
  4. Jak Empik zareagował i czego możemy się nauczyć?
  5. Kiedy fałszywy alarm jest pouczający

Sobota 22 marca – jak zaczął się alarm?

Ogłoszenie na forum cyberprzestępczym zamieścił użytkownik o nicku Alcxtraze – znany i wysoko oceniany sprzedawca w tym środowisku, co od początku zwiększało wiarygodność oferty. Sprzedający twierdził, że w jego posiadaniu jest kompletna baza danych z pełnym katalogiem informacji o użytkownikach platformy. Przestępcy dodali, że dysponują pełnym katalogiem danych: imionami i nazwiskami, adresami e-mail, numerami telefonów oraz historią zamówień, w tym datami transakcji wraz z listą zamawianych produktów. Cena za całość wynosiła kilkadziesiąt tysięcy dolarów, a dla uwiarygodnienia oferty sprzedający opublikował próbkę danych – fragment zawierający kilkadziesiąt rekordów, które na pierwszy rzut oka wyglądały przekonująco.

Pierwsza reakcja ekspertów z portalu Zaufana Trzecia Strona była ostrożna – po wstępnej weryfikacji opartej o reputację autora ogłoszenia i zawartość udostępnionej próbki uznali ją za na tyle wiarygodną, by poinformować o niej w mediach społecznościowych. Informacja szybko trafiła do przestrzeni publicznej, gdzie niezweryfikowane doniesienia zaczęły żyć własnym życiem. Empik potwierdził, że ma świadomość sytuacji i od godzin porannych weryfikuje podejrzenia wystąpienia incydentu bezpieczeństwa, a do działania włączył się także CERT. Już w sobotnie popołudnie biuro prasowe Empiku wydało pierwsze oficjalne stanowisko firmy, dając sygnał, że sprawa jest traktowana priorytetowo i z pełną powagą.

Pierwsze sygnały, że coś się nie zgadza

Jeszcze w sobotę, w toku trwającej weryfikacji, Empik zaczął przekazywać mediom kolejne ustalenia, które stopniowo podważały autentyczność oferowanej bazy. Zdecydowana większość danych z udostępnionej próbki nie występuje w systemach Empiku, a format danych kontaktowych z próbki nie jest spójny z formatem obowiązującym w wewnętrznych systemach firmy. To był pierwszy poważny sygnał, że coś fundamentalnie się nie zgadza – autentyczny wyciek z konkretnego systemu zawsze odzwierciedla strukturę danych stosowaną przez daną organizację. Empik podkreślił również, że znaczna część ujawnionej próbki to publicznie dostępna lista produktów z katalogu Empik.com, niezwiązana z historią zakupów ani danymi użytkowników. Innymi słowy, część „dowodów” autentyczności bazy stanowiły informacje powszechnie dostępne, które każdy mógł pobrać bezpośrednio ze strony Empiku bez żadnego włamania.

Empik poinformował również, że wśród danych nie znalazły się hasła, hashe haseł, prawdziwa historia zakupów czy dane płatnicze, a zgodnie z normą PCI DSS Empik nie przechowuje numerów kart płatniczych. Ten fakt jest o tyle istotny, że prawdziwy wyciek z tak dużej platformy e-commerce niemal zawsze zawiera przynajmniej zaszyfrowane hasła – ich brak w udostępnionej próbce od razu wzbudził poważne wątpliwości wśród specjalistów. Do weryfikacji incydentu włączyła się Zaufana Trzecia Strona w postaci niezależnych ekspertów oraz CERT Polska, co pozwoliło prowadzić analizę równolegle na wielu frontach.

Wielogodzinna analiza i jednoznaczne wnioski

Kulminacja dochodzenia nastąpiła w niedzielę 23 marca. W komunikacie wydanym chwilę po godzinie 10:00 Empik poinformował, że oferowana na sprzedaż baza okazała się nieprawdziwa i wykreowana w celu wyłudzenia pieniędzy od osób potencjalnie zainteresowanych jej kupnem, a według wiedzy firmy powstała ona na bazie historycznie występujących wycieków danych z innych firm. Równolegle własną pogłębioną analizę opublikował serwis Zaufana Trzecia Strona, dostarczając technicznych dowodów potwierdzających tę tezę.

Analiza wykazała, że w każdym z 57 rekordów informacje o produktach są identyczne i pochodzą bezpośrednio z publicznie dostępnego kodu źródłowego strony internetowej Empiku. To odkrycie było przełomowe – w żadnej prawdziwej bazie zakupowej poszczególni klienci nie mają identycznych historii zamówień. Nawet pozornie szczegółowe daty zakupów nie zgadzały się z rzeczywistymi informacjami posiadanymi przez firmę i zostały sfabrykowane, a rozmiar pliku również nie pasował do deklarowanej liczby rekordów. Eksperci wyliczyli, że baza 25 milionów użytkowników powinna ważyć około 667 GB, a 2,5 miliona użytkowników – 67 GB, podczas gdy sprzedawca twierdził, że całość zajmuje zaledwie 47 GB. Liczby po prostu się nie zgadzały.

Wśród 57 zestawów danych osobowych udostępnionych przez przestępców, zespół Empiku zidentyfikował kilkanaście kont, w których adresy e-mail zgadzały się z adresami e-mail klientów Empiku. Łączy je jednak jedna rzecz: wszystkie są ofiarami naruszenia danych z 2020 roku dotyczącego firmy Ledger, oferującej portfele kryptowalutowe. Ponadto trzy czwarte danych osobowych to kopie, w których zmieniono tylko jedną literę, by dodać wyciekowi objętości. Między danymi skopiowanymi z wycieku Ledgera a danymi reklamowymi pobranymi ze strony Empiku znalazły się też rzekome daty zakupów przypisane poszczególnym osobom – całkowicie zmyślone, służące wyłącznie jako dekoracja mająca uwiarygodnić ofertę.

Jak Empik zareagował i czego możemy się nauczyć?

Empik dwukrotnie publikował swoje ustalenia w ciągu kilku godzin od rozpoczęcia analizy, co jest naprawdę rzadko spotykaną sytuacją na polskim rynku. Oficjalne oświadczenie podpisała Anna Gut-Mostowy, menedżerka ds. komunikacji korporacyjnej Empiku. W komunikacie firma podziękowała zespołowi ekspertów CERT za wsparcie w całym procesie i sprawną współpracę, podkreślając, że bezpieczeństwo danych jest bezsprzecznie jej priorytetem. Dla potwierdzenia końcowych ustaleń oferta sprzedaży bazy zniknęła z forum, co dodatkowo świadczy o tym, że przestępca widząc, iż jego manipulacja została zdemaskowana, wolał wycofać ogłoszenie.

Przypadek Empiku dostarczył kilku ważnych lekcji zarówno dla użytkowników, jak i dla firm:

  • Nie reaguj impulsywnie na pierwsze doniesienia o wycieku – zaczekaj na oficjalne stanowisko firmy i analizy zaufanych źródeł, zanim podejmiesz działania.
  • Sprawdzaj swój adres e-mail w serwisie HaveIBeenPwned lub polskim Bezpieczne Dane, by wiedzieć, czy pojawiał się w potwierdzonych wyciekach z poprzednich lat.
  • Stosuj unikalne hasła do każdego serwisu – nawet jeśli dane z jednego miejsca trafią w niepowołane ręce, nie otworzy to drzwi do pozostałych kont.
  • Monitoruj konto bankowe i historię transakcji pod kątem nieautoryzowanych operacji – to dobry nawyk niezależnie od konkretnego incydentu.
  • Zastrzeż swój PESEL przez serwis gov.pl, co ogranicza ryzyko zaciągnięcia kredytu na skradzione dane osobowe.

Kiedy fałszywy alarm jest pouczający

Proceder, z którym mieliśmy do czynienia w przypadku Empiku, polega na celowym spreparowaniu fałszywej bazy danych wyłącznie po to, by wyłudzić pieniądze od osób potencjalnie zainteresowanych jej kupnem. Technika jest prosta: bierze się dane z dobrze znanych, starych wycieków, uzupełnia się je o informacje powszechnie dostępne pobrane ze strony firmowej ofiary, a następnie sprzedaje całość pod szyldem aktualnego włamania. Ogłoszenie na forum dla hakerów zostało zamieszczone z konta cieszącego się wysoką reputacją, co dodatkowo zwiększało jego wiarygodność i utrudniało natychmiastową ocenę sytuacji.

Przypadek Empiku pokazuje jednak, że transparentna i sprawna reakcja firmy może w krótkim czasie skutecznie opanować nawet bardzo głośny kryzys wizerunkowy. Mimo ogromnej fali niepokoju w mediach społecznościowych, niemały zespół pracował od samego rana nad rozwiązaniem zagadki tajemniczego wycieku i ostatecznie w ciągu kilkunastu godzin potwierdził, że dane wrzucone do sieci są spreparowane. To tempo i poziom transparentności – przy jednoczesnym wsparciu niezależnych specjalistów z CERT Polska oraz portalu Zaufana Trzecia Strona – stanowią wzorzec postępowania, który rzadko zdarza się obserwować na polskim rynku.

Ochrona danych użytkowników wymaga nie tylko odpowiednich systemów technicznych, ale też sprawnych procedur reagowania i odwagi w otwartej komunikacji z rynkiem.

Chcesz poznać
szczegółową ofertę?
Skontaktuj się z nami!

hello@cyrekevents.com  |  tel. +48 570 733 362

NAJNOWSZE POSTY NA BLOGU

Umowa na czas określony a ciąża i zasiłek macierzyński
24 marca 2026
|
9 min.
Pracodawca
Michał Włodarczyk
Michał Włodarczyk
Umowa na czas określony a ciąża i zasiłek macierzyński
Więcej
Deepfake – co to jest, jak działa i jak rozpoznać fałszywe nagrania w internecie?
24 marca 2026
|
6 min.
Cyberbezpieczeństwo
Łukasz Kisiała
Łukasz Kisiała
Deepfake – co to jest, jak działa i jak rozpoznać fałszywe nagrania w internecie...
Więcej
Vishing – czym jest i jak chronić firmę przed oszustwami telefonicznymi?
24 marca 2026
|
4 min.
Cyberbezpieczeństwo
Gabriela Kogut
Gabriela Kogut
Vishing – czym jest i jak chronić firmę przed oszustwami telefonicznymi?
Więcej
Zostań na dłużej
Wróć na górę
Polityka prywatnościRodo

Cyrek Events Sp. z o.o.
ul. Rybna 14
30-254 Kraków

KRS 0000491629
NIP 7322172650
Regon 101709460