Cyberbezpieczeństwo
#CyberMagazyn: Co można znaleźć w wyciekach danych Polaków?
Ataki cyberprzestępców często wiążą się z wyciekami danych. W samym sierpniu bieżącego roku trzy grupy hakerskie opublikowały dane z czterech polskich firm. Przeanalizowaliśmy to, jakie informacje wychodzą na światło dzienne.
Na wstępie należy dodać, że nie ma dwóch takich samych wycieków. Wśród nich można wyróżnić dwie grupy: bazy danych oraz różne pliki pochodzące z danej organizacji. Podczas ataków ransomware zazwyczaj cyberprzestępcy żądają okupu za odszyfrowanie danych oraz niepublikowanie ich w sieci. Niektóre wycieki danych są publikowane bez uprzedniego żądania okupu, np. na forach hakerskich lub kanałach na Telegramie.
Czytaj też
Ataki ransomware
Pliki ujawnione podczas niedawnego ataku na SuperDrob dotyczyły przede wszystkim wewnętrznych operacji oraz transakcji firmy. Nie znajdowało się tam wiele dokumentów zawierających dane osobowe pracowników lub klientów, lecz udało się nam znaleźć kilka skanów zezwoleń i świadectw zawierających m.in. PESEL.
Czytaj też
Przykładowe katalogi wyglądały w następujący sposób:
Niestety podczas tego ataku wyciekło wiele danych dostępowych do różnych kont. Miejmy nadzieję, że zostały błyskawicznie zmienione. Za zalogowanie się do takiego konta grozi nam kara pozbawienia wolności do lat 2, zgodnie z art. 267 Kodeksu Karnego.
Głośnym przypadkiem był atak na Polską Grupę Dealerów (pgd.pl). Cyberprzestępcy ujawnili podczas ataku wewnętrzne dokumenty firmy, dane logowania do wielu serwisów oraz dokumenty zawierające dane osobowe klientów. Holding 1, właściciel m.in. PGD, poinformował klientów o incydencie. Niestety zarówno nasz portal oraz Niebezpiecznik nie uzyskał odpowiedzi na pytania zadane firmie.
Czytaj też
Ten wyciek może nas nauczyć, że trzymanie haseł do portali w formie pliku Excela nie jest rozsądną praktyką. Niektóre z haseł do mediów społecznościowych miały końcówkę zawierającą rok oraz wykrzynik.
Warto dodać, że w momencie pisania artykułu niemożliwe jest pobieranie plików udostępnionych przez RansomHub – linki podane przez cyberprzestępców do pobierania plików nie działają.
Wycieki danych osobowych
13 sierpnia informowaliśmy na łamach naszego portalu o ataku nowej grupy hakerskiej na dwie polskie organizacje: Briju 1920 Limited oraz Vindix S.A.
Pierwsza z wymienionych z firm zajmuje się sprzedażą biżuterii. Cyberprzestępcy z grupy Helldown udostępnili listę pracowników wraz z adresami mailowymi i numerami telefonów. Briju nie poinformowało o incydencie na swojej stronie internetowej.
Druga z wymienionych organizacji zajmuje się windykacjami, czego skutkiem jest wyciek wielu danych osobowych Polek i Polaków. Dane były udostępnione w formie dwóch archiwów, nazwanych 1.zip oraz 2.zip. Plik tekstowy dołączony przez cyberprzestępców wskazuje, że wykradzionych danych było zdecydowanie więcej – znajdują się w nim ścieżki ponad 4,5 tys. plików.
Czytaj też
Powyższy wyciek jest poważny, ponieważ do sieci wyciekło m.in. osiem wydruków z CEPiK, trzy dokumenty z urzędu pracy oraz siedem wniosków sądowego organu egzekucyjnego o udzielenie informacji. Zgodnie z informacjami przekazanymi nam ostatnio przez Ministerstwo Cyfryzacji, dane niektórych osób nie zostaną zamieszczone na rządowym portalu Bezpieczne Dane, ponieważ są to skany dokumentów, a indeksowane są jedynie dane pochodzące „tylko ze źródeł, z których można pozyskać je w sposób automatyczny. Są to dokumenty tekstowe, arkusze danych, pliki PDF oraz pliki baz danych”.
Czytaj też
Spółka Vindix poinformowała o incydencie i podejmowanych krokach na swojej stronie internetowej. W momencie pisania tego artykułu strona internetowa grupy Helldown nie działa.
Udostępnianie danych bez okupu
Na początku lutego br. w sieci ukazała się baza danych zawierająca dane Polek i Polaków pochodzące ze strony dla modelek. Wyciek ukazał się na znanym forum hakerskim. Cyberprzestępcy najprawdopodobniej nie żądali okupu, lecz po prostu opublikowali wykradzione dane.
The website https://t.co/GHWtazujdn, dedicated to Polish modeling, has experienced a data breach, with personal information now accessible for download. #DataBreach #CyberSecurity #DarkWeb #polishgirl #modeling #PrivacyMatters pic.twitter.com/pePXGtpT0H
— deepweb.net (@deepwebdotnet) February 4, 2024
Niedługo po naszym artykule CERT Polska poinformował o tym, że w wycieku znajdowały się dane 40 tys. osób.
‼️Uwaga. Nasz zespół stwierdził wyciek danych osobowych ok. 40 tysięcy osób zarejestrowanych na portalu https://t.co/gArsaLuOwF.
— CERT Polska (@CERT_Polska) July 11, 2024
Na https://t.co/eHW0e2LpgP możecie sprawdzić czy wyciekły Wasze dane. Jeżeli używaliście tego samego hasła w innych serwisach, należy je zmienić.
Czytaj też
Link do pobrania bazy danych wygasł niedługo po zgłoszeniu incydentu do CERT Polska. Złożoność haseł i proces łamania hashy opisaliśmy na łamach CyberDefence24.
Czytaj też
Wyciek z NATO
W lipcu informowaliśmy o ataku na wewnętrzny portal NATO. Opublikowano wtedy m.in. dane 12 polskich żołnierzy, w tym kilku oficerów starszych. Takie ataki należą do rzadkości. Należy również podkreślić, że nie ujawniono dokumentów o klauzuli innej niż NATO UNCLASSIFIED.
Grupa odpowiedzialna za atak niedługo później zniknęła. Pliki również nie są dostępne do pobrania na MEGA, gdzie były upublicznione przez hakerów.
Czytaj też
POLADA, czyli... „wszystko"
6 sierpnia na kanale Beregini na Telegramie pojawiła się informacja o zaatakowaniu Polskiej Agencji Antydopingowej. W artykule Zaufanej Trzeciej Strony znajdują się następujące słowa, które oddają skalę ataku: „Wszystko. To jedno słowo najlepiej opisuje skalę tego, co włamywacze ukradli z komputerów i serwerów Polskiej Agencji Antydopingowej.”
Czytaj też
Wśród plików mówiących o wykryciu dopingu u sportowców można znaleźć również m.in. umowy o pracę czy dokumenty dotyczące organizacji wesela. Obecnie nie można pobrać plików z linków udostępnionych na wspomnianym kanale.
Podsumowanie
W przypadku wycieku naszych danych powinniśmy niezwłocznie zastrzec swój numer PESEL, jeżeli jeszcze się tego nie robi. Podstawą jest również używanie różnych haseł do portali oraz wykorzystywanie dwuetapowego uwierzytelniania. Warto również rozważyć wykorzystanie menedżera haseł.
Incydenty dotyczące wycieku naszych danych możemy zgłosić do UODO, CERT Polska oraz Policji.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]