Na kyberzločineckom fóre sa mala objaviť ponuka údajnej databázy patriacej českému e-commerce gigantovi Alza.cz. Útočník tvrdí, že má k dispozícii približne 437 000 zákazníckych záznamov. Zatiaľ však nejde o potvrdený únik dát. Autenticita databázy ani jej skutočný pôvod neboli nezávisle overené a práve preto treba tému čítať opatrne.

Ak by sa však rozsah a štruktúra dát potvrdili, nešlo by o banálny zoznam e-mailových adries. Podľa zverejneného popisu má údajná databáza obsahovať mená zákazníkov, e-mailové adresy, telefónne čísla, dátumy narodenia, poštové adresy, zákaznícke úrovne, informácie o vernostných kartách a zostatkoch bodov. Ďalšie záznamy majú údajne obsahovať históriu objednávok, informácie zo zákazníckej podpory a administratívne záznamy súvisiace so servisom či podporou.

Samotný e-mail je však riziko. E-mail spolu s menom, adresou, telefónnym číslom, históriou nákupov a komunikáciou so zákazníckou podporou je však omnoho nebezpečnejší balík.

Najväčšie riziko nie je heslo, ale presvedčivý podvod

Pri podobných prípadoch ľudia často sledujú len jednu vec: či uniklo heslo alebo údaje z platobnej karty. To je dôležité, no v tomto prípade je ešte vážnejší iný scenár. Ak by niekto mal k dispozícii údaje o objednávkach, zákazníckom profile a komunikácii s podporou, vie vytvoriť veľmi presvedčivý phishing.

Útočník už nemusí poslať generický e-mail typu „váš účet bol zablokovaný“. Môže napísať správu, ktorá bude vyzerať ako reakcia na konkrétnu objednávku, reklamáciu, doručenie alebo vernostný program. Ak pozná meno, telefónne číslo, adresu a typ nakúpeného produktu, zákazník oveľa ľahšie uverí, že komunikuje so skutočnou firmou.

Reprofoto: X/Dark Web Intelligence

Práve tu sa riziko násobí. Podvodník môže zákazníka presviedčať, aby si „overil účet“, doplnil platobné údaje, zaplatil drobný poplatok za doručenie, klikol na falošný odkaz alebo nadiktoval kód z SMS. Pri e-shope, ktorý poznajú aj slovenskí zákazníci, môže mať podobný útok veľký dosah aj mimo Česka.

Vernostné účty sú podceňovaný cieľ

Zaujímavou časťou údajnej databázy sú informácie o vernostných kartách, zákazníckych úrovniach a bodových zostatkoch. Na prvý pohľad to nepôsobí tak citlivo ako banková karta alebo heslo. V praxi však aj vernostný účet môže mať hodnotu.

Ak má zákazník nazbierané body, kupóny alebo výhody, útočník sa môže pokúsiť o prevzatie účtu a ich zneužitie. Ešte väčším problémom je kombinácia s ďalšími údajmi. Vernostný profil pomáha podvodníkovi lepšie odhadnúť správanie zákazníka, jeho nákupné zvyklosti a dôveryhodne napodobniť komunikáciu obchodu.

Ak sú v údajoch aj servisné tikety alebo história komunikácie so zákazníckou podporou, otvára sa priestor pre sociálne inžinierstvo. Útočník môže tvrdiť, že rieši starší problém, reklamáciu alebo zmenu doručenia. Takýto podvod pôsobí oveľa dôveryhodnejšie než náhodná správa plná chýb.

Alza zatiaľ nemusí byť potvrdenou obeťou

Dôležité je nepísať, že Alza bola hacknutá, pokiaľ to nepotvrdí firma, bezpečnostní výskumníci alebo príslušné úrady. Útočníci na fórach často tvrdia, že predávajú databázu známej firmy, no pôvod dát môže byť iný. Môže ísť o staršie dáta, mix z viacerých zdrojov, údaje získané cez infostealer malvér, dáta tretích strán alebo dokonca o falošnú ponuku vytvorenú len na prilákanie kupcov.

Aj preto je pri podobných tvrdeniach rozhodujúca nezávislá validácia. Treba overiť vzorku dát, čas ich vzniku, štruktúru databázy, duplicity, interné identifikátory, prípadné napojenie na konkrétny systém a vyjadrenie dotknutej firmy. Bez toho ostáva celá vec v rovine údajného incidentu.

🇨🇿 Alleged database belonging to Czech e-commerce giant https://t.co/TZJPbzZyYo has been advertised on a cybercrime forum, with the threat actor claiming to possess approximately 437,000 customer records.

* Threat actor claims the dataset originates from https://t.co/TZJPbzZyYo… pic.twitter.com/rF91YhFs1e

— Dark Web Intelligence (@DailyDarkWeb) May 29, 2026

To však neznamená, že zákazníci majú čakať so založenými rukami. Pri veľkých e-shopoch sa oplatí správať opatrne aj vtedy, keď únik ešte nie je potvrdený. Phishingové kampane totiž môžu vzniknúť aj na základe samotnej publicity okolo údajného úniku.

Čo by mali zákazníci spraviť hneď

Prvým krokom je neklikať na odkazy v správach, ktoré sa tvária ako Alza a žiadajú prihlásenie, doplatenie objednávky, overenie vernostného programu alebo aktualizáciu údajov. Bezpečnejšie je otvoriť stránku obchodu ručne cez prehliadač alebo aplikáciu a skontrolovať účet priamo tam.

Druhým krokom je zmena hesla, najmä ak zákazník používal rovnaké heslo aj inde. Ak rovnaké heslo funguje v e-shope, e-maile a sociálnej sieti, problém sa môže rýchlo rozliať ďaleko za jeden obchod. Pri účtoch, kde je to možné, treba zapnúť dvojfaktorové overenie.

Tretím krokom je sledovať podozrivé objednávky, zmeny v účte, neznáme adresy doručenia, nové platobné metódy alebo pokusy o reset hesla. Ak niekto dostane e-mail alebo SMS, ktorá pôsobí podozrivo, nemal by reagovať cez odkaz v správe, ale kontaktovať podporu cez oficiálny kontakt.

Pre firmy je to varovanie pred hodnotou CRM dát

Ak sa ukáže, že ponúkaná databáza je pravá, nepôjde len o incident jedného e-shopu. Bude to ďalšia pripomienka, že CRM a zákaznícke systémy patria medzi najcitlivejšie databázy vo firme. Obsahujú obchodné, osobné aj behaviorálne údaje, ktoré sú pre útočníkov mimoriadne použiteľné.

Zákaznícka história je dnes palivo pre podvody. Čím viac firma vie o zákazníkovi, tým viac môže útočník zneužiť, ak sa k týmto údajom dostane. Aj preto nestačí chrániť len platobné systémy alebo heslá. Rovnako dôležité sú prístupy zamestnancov, interné nástroje podpory, exporty dát, integrácie tretích strán a logovanie prístupov.

Celý prípad tak treba zatiaľ vnímať ako varovanie, nie ako potvrdený verdikt. Údajná databáza Alzy môže byť skutočným únikom, ale aj neoverenou ponukou na fóre. Pre zákazníkov je však praktický záver rovnaký: najbližšie dni si treba dávať pozor na správy, ktoré budú vyzerať až príliš presvedčivo. V modernom phishingu už často neprehráva ten, kto klikne na hlúpy e-mail. Prehráva ten, komu príde podvod s jeho vlastnými údajmi.

Čítajte viac z kategórie: Cyber