Wczoraj późnym wieczorem (29. maja 2023) serwis Zaufana Trzecia Strona opublikował informację o potężnej bazie loginów i haseł, dostępnej na forum w sieci Tor. Baza zawiera ok. 6 mln wierszy z danymi kont w sieci, najczęściej należącymi – w uproszczeniu – do osób z Polski. Tym samym oznacza to, że prawdopodobnie mamy do czynienia z jednym z największych jednorazowych wycieków danych w historii polskiego internetu. Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online oraz kontami Polek i Polaków na całym świecie.
Informacja pierwotnie opublikowana na portalu zaufanatrzeciastrona.pl, pojawiła się następnie dziś rano (30 maja 2023 r.) w kolejnych serwisach internetowych o tematyce technologicznej, m.in. na portalu spidersweb.pl a także w wyborcza.pl
Skąd pochodziły dane o logowaniu?
Największa część bazy dotyczy popularnych serwisów, jak serwisy aukcyjne, portale zakupowe, darmowa poczta związana z portalami informacyjnymi. Zdarzają się też spore sklepy internetowe. Wszystko wskazuje na to, że w komputerach wielu – szacunkowo setek tysięcy – Polaków istniało zainstalowane złośliwe oprogramowanie.
Jego charakter jest niejasny – mogło ono wykradać hasła z historii przeglądarki albo przechwytywać znaki wpisywane z klawiatury, a następnie przesyłać do atakującego listę zawierającą zestaw informacji jak adres url w ramach którego następowało logowanie, login oraz hasło.
Masowy charakter oraz powiązanie z dokładnymi adresami url wskazuje na to, że była to akcja o charakterze rozproszonym, a nie włamanie do infrastruktury któregokolwiek operatora czy serwisu.
Czy moje hasło zostało wykradzione z serwisu lub sklepu internetowego?
Jeśli Twój login jest w opublikowanej bazie, to najbardziej prawdopodobny scenariusz wydaje się taki, że zostało ono przechwycone w Twoim telefonie, tablecie lub komputerze. Włamanie do infrastruktury operatora jakiejkolwiek poważnej aplikacji – a mówimy tu o największych polskich serwisach – nie umożliwiłoby wykradzenia haseł.
Hasła we współczesnych architekturach nie są przechowywane w bazach danych ani plikach, nie da się ich zatem ukraść operatorowi. Banki, sklepy i serwisy nie znają haseł, a jedynie ich cyfrowe „odciski”. Zachodzi tu relacja podobna nieco do klucza i zamka – to użytkownik zna hasło, a operator tylko umie potwierdzić, czy ono jest prawidłowe, czy nie.
Także w odniesieniu do ewentualnych usług w naszej infrastrukturze warto podkreślić, że nie doszło tu do żadnego incydentu na serwerze czy w aplikacjach. Źródłem zaistniałego problemu jest złośliwe oprogramowanie, które ma za zadanie zainfekowanie komputera lub telefonu, by następnie wykradać i przesyłać z zainfekowanych urządzeń dane uwierzytelniające.
Na liście znajdują się miliony rekordów. Nie mamy możliwości sprawdzenia, czy są tam Twoje loginy do wszelkich serwisów, z których korzystasz, ale na wszelki wypadek rekomendujemy Ci przejście poniższej procedury.
Jak postępować?
Jako że tak czas, jak i szybkość reakcji mają tu ogromne znaczenie, rekomendujemy poniższą instrukcję rekomendowanego przez nas postępowania. Jeśli Twoje urządzenie nie zostało do tej pory zainfekowane, dzięki zastosowaniu się do poniższych zaleceń zwiększysz prawdopodobieństwo, że prawidłowo przechowujesz swoje wrażliwe dane i są one bezpieczne oraz masz szansę uniknąć konsekwencji, jeśli na Twoim urządzeniu do infekcji doszło.
Instrukcja krok po kroku – dotyczy wszystkich urządzeń, z których logujesz się do serwisów internetowych:
- Niezwłocznie przejrzyj zainstalowane oprogramowanie i aplikacje i odinstaluj te z nich, które wydają ci się podejrzane.
- Zaktualizuj oprogramowanie antywirusowe i natychmiast uruchom pełne skanowanie urządzenia.
- W przypadku wykrycia zainfekowanych plików lub szkodliwego oprogramowania poddaj je kwarantannie lub najlepiej, jeśli to możliwe, natychmiast usuń z urządzenia.
- Zresetuj wszystkie loginy i hasła używane do logowania się na stronach internetowych i przygotuj nowe, pamiętając o kierowaniu się zasadami tworzenia mocnych i bezpiecznych haseł. Uwaga – ma to sens dopiero po usunięciu złośliwego oprogramowania z Twojego komputera. W przeciwnym wypadku oprogramowanie przestępców przechwyci Twoje nowe hasło.
- Włącz uwierzytelnianie dwuskładnikowe tzw. 2FA w dostępie do Panelu Klienta i 2 FA do poczty Webmail. Dzięki temu posiadanie samego hasła nie wystarczy to realizacji logowania.
- Unikaj zapisywania haseł w przeglądarce. Stosuj zamiast tego oprogramowanie typu manager haseł, np. KeePass.
Jakie mogą być konsekwencje, jeśli moje dane zostały upublicznione?
W wypadku bankowości jest to dostęp do konta i utrata poufności w zakresie finansów. Jednocześnie ryzyko utraty środków jest tu umiarkowane, ponieważ transfer pieniędzy wymaga najczęściej drugiego składnika uwierzytelniającego.
Utrata dostępu do poczty to naruszenie tajemnicy korespondencji oraz, co nie jest takie oczywiste, ryzyko przejmowania kolejnych kont w innych serwisach. Chodzi o to, że konto poczty elektronicznej można wykorzystać do resetu hasła w wielu usługach, a loginem często jest po prostu adres e-mail. W takim wypadku atakujący posiada adres i w prosty sposób zrestuje hasło, a co za tym idzie narażone mogą być wszelkie usługi do których logowanie następowało ze skompromitowanego adresu.
Z kolei w wypadku sklepów internetowych ryzyko jest umiarkowane, bo te rzadko zrealizują zamówienia, które nie są opłacone. Dlatego wydaje mi się, że w tym scenariuszu skompromitowane mogą zostać dane osobowe i np. historia zamówień, ale prawdopodobnie na tym skutki się skończą.
Oczywiście istnieje też ryzyko szantażowania właścicieli serwisów, których dane wyciekły – poprzez wmawianie im, że doszło do kradzieży danych z ich systemu/serwera/aplikacji.
Z pewnością w najgorszej sytuacji są tu osoby posługujące się tym samym hasłem w wielu systemach i serwisach – dlatego, jak zwykle – rekomenduję Ci stosowanie różnych haseł do każdego serwisu internetowego.
Warto używać menadżerów haseł, zabezpieczając do nich dostęp odpowiednio długim i złożonym hasłem głównym i uwierzytelnianiem dwuskładnikowym.
Nie wiedziałem o tym wycieku. Chyba trzeba lepiej zadbać o swoje dane.