Czy mamy wpływ na wycieki danych?
Wycieki danych zaczynają nam coraz częściej towarzyszyć. Informacje o nich spływają do nas każdego dnia. Coraz więcej firm zmaga się z incydentami bezpieczeństwa. Powoli zaczynamy się przyzwyczajać do tego zjawiska, jednak czy powinniśmy?
Jak dochodzi do wycieku danych?
W komunikatach, które wysyłają firmy do swoich klientów po wycieku danych, najczęściej dowiadujemy się, że doszło do ataku hakerskiego. Grupy ransomware atakują duże podmioty, pozyskują wrażliwe informacje, żeby następnie żądać okupu pod groźbą ich upublicznienia. Z takim przypadkiem zmagało się Laboratorium ALAB, wskutek którego do sieci wyciekły historie medyczne i dane osobowe tysięcy pacjentów. Więcej o tej sprawie pisaliśmy tutaj. W ostatnich tygodniach również firma The North Face poinformowała swoich klientów o incydencie naruszenia ich danych po ataku ransomware na korporację.
Poza cyberatakami, wycieki występują również przez luki zabezpieczeń, błędne szyfrowanie serwerów, udostępnianie baz danych w niewłaściwy sposób, czy wadliwą i przestarzałą infrastrukturę firmy. Nie możemy pominąć zwyczajnego błędu ludzkiego, a nawet celowego działania wewnętrznego pracownika, który chce zadziałać na niekorzyść pracodawcy. Taka sytuacja prawdopodobnie miała miejsce w przypadku aplikacji AppJobs.Work, gdzie były pracownik firmy, wysyłał do użytkowników spersonalizowane wiadomości phishingowe wyłudzające pieniądze.
Czy mamy wpływ na wycieki danych?
Naruszenia bezpieczeństwa danych najczęściej dzieją się za naszymi plecami. Przeciętny użytkownik nie ma na nie żadnego wpływu. Każdego dnia korzystamy ze stron internetowych, rejestrujemy się na platformach social mediowych czy uczęszczamy do lekarzy. Wszędzie tam pozostawiamy po sobie ślad w postaci informacji na nasz temat. W przypadku wizyt lekarskich zakładamy, że nasza historia medyczna i wyniki badań są bezpiecznie przechowywane przez szpital czy laboratorium. Sytuacja z ALAB-em pokazuje, że wszystko może się wydarzyć, a my jesteśmy w tym całkowicie bezbronni. Tak samo w przypadku gigantów Internetu, jakimi są Facebook czy Twitter. Te platformy również doświadczyły groźnych incydentów bezpieczeństwa, gdzie naruszono dane setek milionów użytkowników. Czy mogliśmy się przed tym uchronić? Jedynie rezygnując z ich korzystania, jednak w dzisiejszym świecie ze świecą szukać takich, którzy nie są zarejestrowani na żadnych platformach.
Jak się zabezpieczyć?
Duże korporacje i platformy nie są jedynymi źródłami informacji na nasz temat. O ile na ich poziom zabezpieczeń nie mamy wpływu, o tyle są kwestie, których możemy dopilnować sami.
Podpowiadamy, jak możesz zadbać o swoje bezpieczeństwo w sieci:
- im mniej publikujesz na swój temat, tym lepiej. Zweryfikuj swoje media społecznościowe pod kątem informacji dostępnych publicznie. Zrezygnuj z dzielenia się swoim numerem telefonu, adresem mailowym, adresem czy datą urodzenia, nie wspominając o danych z dokumentów;
- zwracaj uwagę na wiadomości, które otrzymujesz. Nie klikaj w przypadkowe linki. Fałszywe witryny również są źródłem zbierania naszych danych;
- nie rejestruj się w podejrzanych serwisach. Jeśli jest to koniecznie, wykorzystaj specjalnie przygotowany do tego adres mailowy, z którego nie korzystasz do oficjalnego kontaktu (w banku czy w Twoich mediach społecznościowych);
- korzystaj z silnych, unikatowych haseł i przechowuj je bezpiecznie w managerze haseł, np. Bitwarden;
- stosuj weryfikację dwuetapową logowania. Może być w formie wysyłania kodów w wiadomości SMS, ale polecamy korzystanie z aplikacji uwierzytelniających, np. Google Authenticator;
- zaopatrz się w klucz U2F. Więcej o tym narzędziu pisaliśmy tutaj;
- zainstaluj programy antywirusowe na swoim urządzeniu. Złośliwe programy mogą posłużyć oszustom do zdobycia informacji na Twój temat.
Jak sprawdzić czy dane brały udział w wycieku?
W przypadku dużych korporacji, jak wcześniej wspomniany The North Face czy ALAB, Inspektor Danych Osobowych powiadamia poszkodowanych o incydencie, najczęściej drogą mailową. Odbiorca dowiaduje się, jakich danych dotyczy wyciek, jak do niego doszło oraz jakie może nieść konsekwencje.
Jednak nie zawsze mamy szansę dowiedzieć się, że nasze informacje gdzieś hulają w sieci. Między innymi dlatego, że źródło ich pozyskania nie jest jawne lub możliwe do ustalenia. Taka sytuacja miała miejsce w przypadku głośnego polskiego wycieku w maju ubiegłego roku. W Internecie została udostępniona obszerna baza danych, zawierająca numery telefonów, maile, hasła i loginy do różnych portali ponad 6 milionów polskich użytkowników. Śledztwo wykazało, że dane zostały wykradzione bezpośrednio z urządzeń użytkowników, na których zainstalowane było złośliwe oprogramowanie w postaci stealera (rodzaj złośliwego oprogramowania, które wykrada wszystkie loginy i hasła zapisane w przeglądarce).
W związku z tym wydarzeniem powstała rządowa platforma bezpiecznedane.gov, na której można zweryfikować nasz udział w tym incydencie. Na stronie możemy również sprawdzić wyciek z firmy ALAB.
Kolejną przydatną witryną jest haveibeenpwned.com, która posiada setki baz z największych wycieków i tych mniejszych z nieznanym źródłem. W wyszukiwarce wystarczy podać adres mailowy, a serwis udostępni nam wszystkie powiązane z nim informacje.
Co robić po wycieku?
Droga działania zależy od informacji, które wyciekły. Dlatego podzielmy je na kategorie w zależności od rodzaju danych:
– hasła i loginy – od razu je zmień! Wszędzie, gdzie zostały wykorzystane, muszą zostać podmienione na zupełnie nowe, niepowielające się na innych serwisach. W tym miejscu warto wdrożyć korzystanie z managera haseł. Pamiętaj o weryfikacji dwuetapowej logowania.
– adres mailowy – zmień hasło do tej poczty. Włącz uwierzytelnienie dwuskładnikowe. Zweryfikuj bezpieczeństwo wszystkich kont, powiązanych z tym adresem.
– Pesel i dowód osobisty – zastrzeż dokument i wyrób nowy. Najszybciej zrobisz to, dzwoniąc do wybranego banku. Pracownik wprowadzi zdarzenie do specjalnego systemu Dokumenty Zastrzeżone (DZ), a informacja ta zostanie automatycznie przekazana do wszystkich instytucji finansowych, korzystających z DZ. Kolejnym krokiem będzie złożenie wniosku o nowy dowód osobisty w urzędzie. Zastrzeż również numer pesel. Możesz to zrobić np. w aplikacji mObywatel. Więcej o tym przeczytasz tutaj.
Włącz Alerty BIK (Biuro Informacji Kredytowej). Dzięki nim dostaniesz powiadomienie, kiedy jakiś podmiot zapyta o Twoje dane. Na stronie masz także możliwość otrzymania raportu BIK, gdzie sprawdzisz swoje bieżące zobowiązania. Informacje o tym, jak możesz otrzymać darmowy raport, znajdziesz w naszym wpisie.