#CyberMagazyn: Co można znaleźć w wyciekach danych Polaków?

Na wstępie należy dodać, że nie ma dwóch takich samych wycieków. Wśród nich można wyróżnić dwie grupy: bazy danych oraz różne pliki pochodzące z danej organizacji. Podczas ataków ransomware zazwyczaj cyberprzestępcy żądają okupu za odszyfrowanie danych oraz niepublikowanie ich w sieci. Niektóre wycieki danych są publikowane bez uprzedniego żądania okupu, np. na forach hakerskich lub kanałach na Telegramie.

Ataki ransomware

Pliki ujawnione podczas niedawnego ataku na SuperDrob dotyczyły przede wszystkim wewnętrznych operacji oraz transakcji firmy. Nie znajdowało się tam wiele dokumentów zawierających dane osobowe pracowników lub klientów, lecz udało się nam znaleźć kilka skanów zezwoleń i świadectw zawierających m.in. PESEL.

Przykładowe katalogi wyglądały w następujący sposób:

Niestety podczas tego ataku wyciekło wiele danych dostępowych do różnych kont. Miejmy nadzieję, że zostały błyskawicznie zmienione. Za zalogowanie się do takiego konta grozi nam kara pozbawienia wolności do lat 2, zgodnie z art. 267 Kodeksu Karnego.

Głośnym przypadkiem był atak na Polską Grupę Dealerów (pgd.pl). Cyberprzestępcy ujawnili podczas ataku wewnętrzne dokumenty firmy, dane logowania do wielu serwisów oraz dokumenty zawierające dane osobowe klientów. Holding 1, właściciel m.in. PGD, poinformował klientów o incydencie. Niestety zarówno nasz portal oraz Niebezpiecznik nie uzyskał odpowiedzi na pytania zadane firmie.

Ten wyciek może nas nauczyć, że trzymanie haseł do portali w formie pliku Excela nie jest rozsądną praktyką. Niektóre z haseł do mediów społecznościowych miały końcówkę zawierającą rok oraz wykrzynik.

Warto dodać, że w momencie pisania artykułu niemożliwe jest pobieranie plików udostępnionych przez RansomHub – linki podane przez cyberprzestępców do pobierania plików nie działają.

Wycieki danych osobowych

13 sierpnia informowaliśmy na łamach naszego portalu o ataku nowej grupy hakerskiej na dwie polskie organizacje: Briju 1920 Limited oraz Vindix S.A.

Pierwsza z wymienionych z firm zajmuje się sprzedażą biżuterii. Cyberprzestępcy z grupy Helldown udostępnili listę pracowników wraz z adresami mailowymi i numerami telefonów. Briju nie poinformowało o incydencie na swojej stronie internetowej.

Druga z wymienionych organizacji zajmuje się windykacjami, czego skutkiem jest wyciek wielu danych osobowych Polek i Polaków. Dane były udostępnione w formie dwóch archiwów, nazwanych 1.zip oraz 2.zip. Plik tekstowy dołączony przez cyberprzestępców wskazuje, że wykradzionych danych było zdecydowanie więcej – znajdują się w nim ścieżki ponad 4,5 tys. plików.

Powyższy wyciek jest poważny, ponieważ do sieci wyciekło m.in. osiem wydruków z CEPiK, trzy dokumenty z urzędu pracy oraz siedem wniosków sądowego organu egzekucyjnego o udzielenie informacji. Zgodnie z informacjami przekazanymi nam ostatnio przez Ministerstwo Cyfryzacji, dane niektórych osób nie zostaną zamieszczone na rządowym portalu Bezpieczne Dane, ponieważ są to skany dokumentów, a indeksowane są jedynie dane pochodzące „tylko ze źródeł, z których można pozyskać je w sposób automatyczny. Są to dokumenty tekstowe, arkusze danych, pliki PDF oraz pliki baz danych”.

Spółka Vindix poinformowała o incydencie i podejmowanych krokach na swojej stronie internetowej. W momencie pisania tego artykułu strona internetowa grupy Helldown nie działa.

Udostępnianie danych bez okupu

Na początku lutego br. w sieci ukazała się baza danych zawierająca dane Polek i Polaków pochodzące ze strony dla modelek. Wyciek ukazał się na znanym forum hakerskim. Cyberprzestępcy najprawdopodobniej nie żądali okupu, lecz po prostu opublikowali wykradzione dane.

Niedługo po naszym artykule CERT Polska poinformował o tym, że w wycieku znajdowały się dane 40 tys. osób.

Link do pobrania bazy danych wygasł niedługo po zgłoszeniu incydentu do CERT Polska. Złożoność haseł i proces łamania hashy opisaliśmy na łamach CyberDefence24.

Wyciek z NATO

W lipcu informowaliśmy o ataku na wewnętrzny portal NATO. Opublikowano wtedy m.in. dane 12 polskich żołnierzy, w tym kilku oficerów starszych. Takie ataki należą do rzadkości. Należy również podkreślić, że nie ujawniono dokumentów o klauzuli innej niż NATO UNCLASSIFIED.

Grupa odpowiedzialna za atak niedługo później zniknęła. Pliki również nie są dostępne do pobrania na MEGA, gdzie były upublicznione przez hakerów.

POLADA, czyli... „wszystko"

6 sierpnia na kanale Beregini na Telegramie pojawiła się informacja o zaatakowaniu Polskiej Agencji Antydopingowej. W artykule Zaufanej Trzeciej Strony znajdują się następujące słowa, które oddają skalę ataku: „Wszystko. To jedno słowo najlepiej opisuje skalę tego, co włamywacze ukradli z komputerów i serwerów Polskiej Agencji Antydopingowej.”

Wśród plików mówiących o wykryciu dopingu u sportowców można znaleźć również m.in. umowy o pracę czy dokumenty dotyczące organizacji wesela. Obecnie nie można pobrać plików z linków udostępnionych na wspomnianym kanale.

Podsumowanie

W przypadku wycieku naszych danych powinniśmy niezwłocznie zastrzec swój numer PESEL, jeżeli jeszcze się tego nie robi. Podstawą jest również używanie różnych haseł do portali oraz wykorzystywanie dwuetapowego uwierzytelniania. Warto również rozważyć wykorzystanie menedżera haseł.

Incydenty dotyczące wycieku naszych danych możemy zgłosić do UODO, CERT Polska oraz Policji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]