Lidl napadli hackeři a získali vaše jméno, telefon i e-mail. Teď čekají, až kliknete na falešnou SMS
Neznámí útočníci se dostali k osobním údajům zákazníků internetového obchodu Lidl. Hesla ani platební karty neunikly, nebezpečí přijde až s podvodnou SMS.
Obsah článku
Lidl Česká republika začal 10. července 2026 rozesílat zákazníkům svého e-shopu varovný e-mail. Hackeři získali přístup k databázi u externího poskytovatele IT služeb, který pro Lidl data zpracovával. Podle vyjádření mluvčího Lidlu Ivety Barabášové unikla oslovení, jména a příjmení, telefonní čísla, e-mailové adresy, data narození a zákaznická čísla. Firma uvedla, že se útočníci nedostali k heslům, fakturačním či doručovacím adresám ani k bankovním a platebním údajům. Samotný systém e-shopu podle Lidlu napaden nebyl. Přesto firma zákazníky varuje před falešnými SMS a e-maily, a právě v tom spočívá hlavní riziko. Útočníci totiž mají v rukou přesně tu sadu informací, díky které dokážou vytvořit zprávu, jež bude vypadat mnohem věrohodněji než běžný spam.
I jméno a telefon jsou cenné
Únik bez hesel a platebních karet může na první pohled působit méně závažně. Jenže kombinace jména, příjmení, telefonního čísla, e-mailu a data narození je pro podvodníky téměř ideální startovní balíček. NÚKIB u phishingu popisuje, že právě tyto údaje pomáhají vytvářet důvěryhodnější podvodnou komunikaci: útočník osloví oběť jménem, odkáže na konkrétní značku, u které nakupovala, a přidá odkaz na falešnou stránku. Zpráva pak nepůsobí jako generický pokus, ale jako legitimní oznámení od obchodu, kde máte účet.
Prakticky to může vypadat třeba takto: SMS s textem „Vážený pane Nováku, vaše objednávka na lidl.cz vyžaduje ověření platby“ a odkazem na doménu, která se od té skutečné liší jedním písmenem. Po kliknutí na falešnou stránku útočníci mohou získat přihlašovací údaje nebo číslo platební karty. Právě v tu chvíli se „neškodný“ únik kontaktních dat promění v reálnou finanční ztrátu.
Jak poznat falešnou zprávu
Lidl veřejně neukázal konkrétní vzor podvodné SMS navazující na tento únik. Obecné znaky smishingu ale NÚKIB dokumentuje opakovaně a platí univerzálně:
- Podezřelý odkaz – doména neodpovídá oficiální adrese lidl.cz, obsahuje překlepy, zvláštní znaky nebo neobvyklou koncovku.
- Tlak na rychlou akci – formulace typu „klikněte ihned“, „máte 24 hodin“ nebo „jinak bude objednávka zrušena“.
- Požadavek na citlivé údaje – zadání jména, hesla, čísla karty, PINu nebo potvrzovacího kódu z banky.
- Stylistické chyby – špatná diakritika, zvláštní formulace, generické oslovení tam, kde by firma použila vaše jméno (nebo naopak příliš přesné oslovení, které vás má ukolébat).
Oficiální e-mail od Lidlu, který zákazníci dostávají v souvislosti s incidentem, uvádí rozsah zveřejněných údajů i informace o tom, co neuniklo, a nevyzývá k žádné platbě ani přihlášení přes odkaz. Pokud vás navíc zpráva žádá o „ověření účtu“ nebo zadání karty, je to varovný signál.
Kdo nese odpovědnost a co říká zákon
To, že incident nastal u externího IT dodavatele, neznamená, že Lidl stojí stranou. Podle prohlášení o ochraně osobních údajů je u českého online obchodu správcem dat Lidl Česká republika s.r.o. GDPR počítá s tím, že správce může využít zpracovatele, ale musí zvolit firmu s dostatečnými zárukami a smluvně upravit ochranu dat. Navenek tedy odpovědnost za komunikaci se zákazníky i za nahlášení incidentu leží na Lidlu.
Firma uvedla, že incident oznámila Úřadu pro ochranu osobních údajů. Zákon vyžaduje hlášení „pokud možno do 72 hodin“ od zjištění porušení. Zda Lidl tuto lhůtu dodržel, veřejně ověřit nelze, protože přesný čas zjištění incidentu ani odeslání hlášení firma nezveřejnila. Lidl zároveň sdělil, že nemá žádné konkrétní důkazy o tom, že by data již někdo zneužil. Varování je tedy preventivní, ale vzhledem k tomu, jak smishingové kampaně fungují, rozhodně oprávněné.
Co udělat hned teď
Pokud jste někdy nakupovali na lidl.cz, projděte si doručenou poštu i složku se spamem a hledejte oficiální e-mail od Lidlu s informacemi o incidentu. V případě pochybností kontaktujte Lidl přes oficiální kanály; v souvislosti s únikem se podle dostupných informací používá adresa data.shop@lidl.cz.
Několik zásad pro nejbližší týdny:
- Neklikejte na odkazy v SMS ani e-mailech, které se tváří jako Lidl. Oficiální web vždy zadávejte ručně do prohlížeče.
- Sledujte autorizační SMS a oznámení ze své banky. Navazující útok může přijít i se zpožděním několika týdnů.
- Pokud jste již klikli na podezřelý odkaz a vyplnili bankovní či karetní údaje, kontaktujte svou banku. Česká spořitelna u phishingu doporučuje i rychlý kontakt s Policií ČR, pokud už vznikla škoda.
- Buďte obezřetní i vůči telefonátům. Podvodník, který zná vaše jméno, datum narození a e-mail, může zavolat a vydávat se za zákaznickou podporu.
Samotný únik dat u Lidlu nikomu nevybral účet. Skutečný útok začne až ve chvíli, kdy z těchto dat vznikne přesvědčivá zpráva a vy na ni zareagujete.