Wyciek danych bez tajemnic
W ostatnich miesiącach hasło “wyciek danych” coraz częściej atakuje nas z nagłówków serwisów informacyjnych. Pewnie widzieliście je też w tytułach maili, alertujących o naruszeniu danych. Takie niestety masowo trafiają do ofiar.
Na całym świecie codziennie dochodzi do setek ataków hakerskich, a część z nich kończy się sukcesem i generuje wyciek. W takiej sytuacji serwis lub firma są zmuszone zmierzyć się z pokłosiem kradzieży przetwarzanych danych. Na celowniku znajdują się wrażliwe dane przedsiębiorstwa, Pracowników lub Klientów. Cyberprzestępców głównie motywują potencjalne korzyści finansowe, jednak nie zawsze chodzi wyłącznie o kasę. Inspiracja może też być polityczna lub ideologiczna, a czasem napad jest dyktowany nawet złośliwością. Ataki mogą zakłócić dostępność jakiejś usługi, ale przede wszystkim obniżyć zaufanie i reputację instytucji, która stała się ofiarą cyfrowej agresji.
Wyciek danych a ich kradzież
W maju tego roku doszło do udostępnienia ogromnej bazy, zawierającej ponad 6 milionów loginów i haseł polskich użytkowników. Mimo to, nie możemy otagować tego zdarzenia jako wyciek danych. Dlaczego? O wycieku mówimy, kiedy hakerzy uzyskują dostęp do bazy danych usługi lub firmy. Zakres ujawnionych informacji jest zróżnicowany i może zawierać np. wyłącznie adresy mailowe i dane logowania (login, hasło). Niestety mogą się w nim znaleźć też dane osobowe, np. imiona i nazwiska, numery telefonów, a nawet numery PESEL. Zagrożone są tak naprawdę wszystkie informacje, jakie zapisaliśmy w zhakowanym systemie.
Dlaczego w takim razie nie mówimy o wycieku danych w przypadku 6-milionowej bazy? Z bardzo prostej przyczyny. Znajdujące się w niej dane nie pochodzą bowiem z włamania się cyberprzestępców do systemu konkretnej firmy lub instytucji. Ten gigantyczny zbiór loginów i haseł został wykradziony bezpośrednio z komputerów użytkowników. Jak? Ofiary same zainstalowały na swoich urządzeniach niebezpieczne oprogramowanie lub cyberoszuści wykorzystali podatności systemowe używanych przez nie programów i aplikacji. Wśród loginów i haseł można było znaleźć zarówno dane dostępowe do bankowości internetowej, jak i portali społecznościowych. Jednak w tym przypadku za ujawnienie tych haseł nie odpowiadały firmy i usługi, do których dane logowania znalazły się w pliku.
Jak uchronić się przed kradzieżą danych za pomocą złośliwych programów?
✅ dobrze posiadać oprogramowanie antywirusowe
✅ warto na bieżąco aktualizować system operacyjny oraz wszystkie aplikacje i programy
🚫 trzeba unikać instalacji nieznanego oprogramowania lub pochodzącego z niepewnych źródeł
🚫 nie warto ryzykować, otwierając podejrzane załączniki
Wyciek danych – czy mam szanse całkowicie się uchronić?
Niestety nie. Ale głowa do góry! Możesz za to świadomie minimalizować skutki ewentualnego wycieku, wprowadzając w życie kilka prostych zasad:
- Podawaj wyłącznie obowiązkowe dane. Pamiętaj, że informacje, jakie zapisujesz w nieoficjalnych portalach (np. społecznościowych lub forach), nie zawsze muszą być prawdziwe 😉 Warto to wykorzystać!
- Używaj aliasów e-mail. Załóż osobne konto pocztowe do spraw bardziej oficjalnych (jak np. bankowość, strony rządowe) i zupełnie odrębne do pozostałych sieciowych aktywności (portale społecznościowe, zakupy online). Dzięki temu konsekwencje ewentualnego wycieku danych mogą być mniejsze. Dodatkowy bonus: gdy zwiększy się ilość spamu na jednej z Twoich skrzynek, łatwiej będzie wyśledzić winnego sytuacji!
- Zwracaj uwagę na pojawiające się wiadomości o incydentach. Każdy podmiot, przetwarzający Twoje dane, ma obowiązek poinformować Cię, jeśli dojdzie do ich wycieku. Jeśli mignie Ci takie ostrzeżenie w skrzynce odbiorczej – koniecznie przeczytaj! Możesz śledzić też newsy o wyciekach, często pojawiające się w mediach lub po prostu zapisać się do naszych CyberAlertów 😉
- Stosuj unikalne i silne hasła. Tłumacząc na polski: w każdym serwisie używaj innego hasła, które będzie długie (min. 12 znaków) i zróżnicowane (litery małe/duże, cyfry, znaki specjalne). Oczywiście silne hasło nie jest gwarantem ochrony, jednak powstrzyma ataki brute force (to sposób, w którym hakerzy łamią Twoje hasło, próbując wszystkich możliwych kombinacji, np. w przypadku czterocyfrowego numeru PIN będzie to 10 tysięcy możliwych ciągów cyfr). Z kolei używanie niepowtarzalnych haseł może Cię uratować przed atakiem słownikowym (technika ta wykorzystuje m.in. istniejące już bazy, zawierające np. popularne hasła i kombinacje).
- Tam gdzie to możliwe – włączaj dwuetapową weryfikację logowania. To opcja, oferowana w tej chwili przez większość portali i witryn. Polega na wybraniu dodatkowego sposobu zabezpieczenia podczas logowania. Mówiąc wprost – oprócz loginu i hasła, musisz w wybrany sposób (np. kodem z SMSa) potwierdzić, że to faktycznie Ty.
Nie bój się korzystać z dodatkowych narzędzi!
W sieci dostępne są rozwiązania, które pozwolą Ci sprawdzić czy Twoje dane brały udział w jakimś wycieku. Zweryfikujesz to np. na stronie haveibeenpwned.com, gdzie po wpisaniu maila lub numeru telefonu dowiesz się czy zostały udostępnione w jakiejś skradzionej paczce.
Po majowej publikacji bazy z danymi polskich użytkowników, w domenie rządowej również powstała podobna wyszukiwarka: bezpiecznedane.gov.pl. Zalogujesz się do niej profilem zaufanym. Chociaż nie ma tak dużej bazy jak HaveIBeenPwned, to zbadasz dzięki niej nieco większy zakres danych, np. przeszukując zasoby pod kątem swoich loginów i identyfikatorów.
Pamiętaj jednak, że nie każdy wyciek jest od razu wykryty i ujawniony. Nawet jeśli w wyszukiwarkach dostaniesz info o braku zagrożenia, niestety nie masz 100% pewności, że Twoje dane są bezpieczne. Wszystkie tego typu narzędzia wykonują pracę na znanych i wcześniej upublicznionych bazach. Zdarza się, że hakerzy wykradają bazy danych i zwlekają z informowaniem o tym cyberświata, trzymając pliki do swojej dyspozycji. Poszkodowane serwisy i firmy również mogą nie mieć pojęcia o wyciekach, o których często dowiadują się długo po fakcie.
Co robić kiedy Twoje dane wyciekły?
Wszystko zależy od tego, co wypłynęło. Jeśli dostaniesz info o skompromitowaniu adresu e-mail i hasła w konkretnym serwisie – nie zwlekaj, zmieniaj je od ręki i przy okazji włączaj dwuetapową weryfikację logowania. Koniecznie – jeśli witryna udostępnia taką opcję – sprawdź też zalogowanie do swojego konta urządzenia. Jeśli zauważysz jakieś nieznane – bez litości usuwaj. Zdarzyło Cię użyć tego samego hasła też w innym miejscu? Koniecznie wykonaj te same kroki w każdym z nich!
W przypadku większego zakresu, kiedy wyciek obejmuje numer PESEL lub dane dowodu osobistego, nie czekaj. Od razu zastrzeż dokument i składaj wniosek o nowy. Możesz to zrobić na kilka sposobów. Najszybciej zaradzisz sytuacji, dzwoniąc do wybranego banku. Pracownik wprowadzi zdarzenie do specjalnego systemu Dokumenty Zastrzeżone (DZ). Dzięki temu informacja będzie automatycznie przekazana wszystkich instytucji finansowych, korzystających z DZ. Pamiętaj jednak, że zgłoszenie sprawy do banku nie jest tożsame z urzędowym zastrzeżeniem dokumentu. Twoim kolejnym krokiem będzie więc złożenie wniosku o nowy dowód osobisty w urzędzie. Jeśli nie doszło do przestępstwa, nie musisz zgłaszać się na policję.
Dodatkowo możesz skorzystać z usług, oferowanych przez Biuro Informacji Kredytowej. Masz tam do wyboru włączenie płatnych lub bezpłatnych Alertów i Raportu BIK (https://bik.pl/). Dzięki nim dostaniesz powiadomienie, kiedy jakiś podmiot zapyta o Twoje dane, podejrzysz też aktualną listę swoich zobowiązań. Od 18 maja 2023 r. firmy pożyczkowe muszą zbadać zdolność kredytową pożyczkobiorcy w dostępnych rejestrach – w większości przypadków robią to w BIK. Te funkcjonalności pozwolą Ci zapobiec sytuacji, w której ktoś weźmie na Twoje dane pożyczkę lub zawrze jakąś umowę. Więcej o opcjach, dostępnych w BIK przeczytasz w naszym artykule.
Nawet jeśli w wycieku znalazł się niewielki zakres informacji, to może on zostać wykorzystany przeciwko Tobie. Już posiadając sam mail lub numer telefonu, oszuści mogą bombardować Cię phishingową korespondencją z linkami, prowadzącymi na niebezpieczne strony. Im więcej wiedzą o Tobie cyberprzestępcy, tym większe zagrożenie.
Jakie były największe wycieki i co ujawniły?
Sony
Przez lata jednym z największych i wyjątkowo głośnym incydentem był wyciek danych z baz usług firmy Sony w 2011 r. (m.in. dane użytkowników PlayStation Network oraz Qriocity). W rękach atakujących znalazło się blisko 80 milionów rekordów z adresami e-mail, loginami, hasłami, nazwiskami, datami urodzenia, miejscami zamieszkania i danymi kart kredytowych. Firma, poza ogromnym kryzysem wizerunkowym, opłaciła wyciek potężną stratą finansową, a usługa PlayStation Network była niedostępna przez ponad 20 dni.
Uber
W 2016 r. roku doszło do dużego wycieku danych z firmy Uber. Atak początkowo był ukrywany. Jego celem stało się około 57 milionów zarejestrowanych Klientów i kierowców. Hakerzy zdobyli dostęp do numerów telefonów i danych osobowych kilku milionów Klientów, a także numerów praw jazdy ponad pół miliona amerykańskich kierowców. Spółka zapłaciła włamywaczom okup i starała się ukryć fakt wystąpienia incydentu. Sprawa wyszła na jaw kiedy nowy szef Ubera zlecił zewnętrznej firmie audyt w dziale bezpieczeństwa.
Morele.net
2018 rok zapisał się na kartach polskiej cyberhistorii w wyjątkowo czarnych barwach. To właśnie wtedy dane prawie 2,5 miliona Klientów sklepu morele.net zostały wykradzione i udostępnione w sieci. W bazie znalazły się imiona i nazwiska, adresy e-mail, numery telefonów oraz hasła w postaci zahaszowanej. Plik zawierał też numery PESEL i dane dowodów osobistych części Klientów. W 2019 r. Prezes UODO nałożył na sklep karę prawie 3 milionów złotych. Na początku 2023 r. została uchylona przez sąd.
W kwietniu 2021 roku ujawniono ogromny wyciek danych użytkowników Facebooka. Paczka zawierała dane ponad 533 milionów osób. Zakres zebranych i udostępnionych rekordów był dosyć bogaty, znalazły się w nim imiona i nazwiska, numery telefonów, daty urodzenia, adresy e-mail, miejsca pracy, lokalizacje geograficzne, statusy relacji (to dowód, że niekoniecznie należy podawać wszystkie informacje na portalach społecznościowych 😉).
Na początku 2023 roku na jednym z forów hakerskich pojawiło się ponad 210 milionów rekordów, wykradzionych z Twittera. Dane zostały przejęte w 2021 roku, a wśród nich znalazły się między innymi adresy e-mail i nazwy użytkowników. Hakerzy pozystali informacje dzięki nadużyciu API Twittera. W bazie nie było haseł użytkowników, więc ich zmiana nie była konieczna.