Dane z polskich portali wystawione na sprzedaż

Wpisy o sprzedaży danych pojawiły się 9 i 23 grudnia. Pierwszy z nich przypisano do witryny strongflex.eu, a drugi do GoSuite.pl. Nie możemy jednoznacznie potwierdzić, ani zaprzeczyć autentyczności ataku, lecz dołączone rekordy wyglądają na prawdziwe oraz są dość obszerne. Niemożliwe jest również zweryfikowanie tego, czy twierdzenia dotyczące ilości wykradzionych danych są prawdziwe. Wiadomo jednak, że wśród dowodów ataku znajdują się również dane osobowe.

Rzekomy wyciek 100 tys. rekordów

Cyberprzestępca o pseudonimie „Barbara” twierdzi, że wykradł 100 tys. rekordów z strongflex.eu – polskiej firmy zajmującej się sprzedażą elementów z poliuretanu (m.in. do samochodów osobowych).

Dowody ataku

Jako dowody ataku dołączono trzy różne bazy danych. Pierwsza z nich zawiera: imię, nazwisko, email, hash hasła, datę urodzenia oraz adres IP (podczas zapisywania się na newsletter). Jako dowód dołączono 30 rekordów, z czego zdecydowana większość z nich wygląda na autentyczne.

Druga z nich składa się ze 114 rekordów będącymi adresami dostaw, a trzecia zawiera 66 linijek dotyczących statusu zamówień.

Informację o incydencie przekazaliśmy firmie 10 stycznia. Niestety dotychczas nie otrzymaliśmy odpowiedzi dotyczącej podjętych środków czy autentyczności wycieku.

Wyciek danych z tajemniczego portalu

Drugi incydent rzekomo dotyczy portalu gosuite.pl. Niestety w sieci nie ma zbyt wielu informacji o tej witrynie. Zapytaliśmy również o to podmiot, który używa podobnej nazwy – przekazano nam, że strona nie należy do nich.

Cyberprzestępca twierdzi, że wykradł siedem gigabajtów danych. Wśród nich mają być informacje o tysiącu osób, takie jak: numer telefonu, CV, imię i nazwisko, email oraz… hasło jako tekst.

Dowody ataku

Jako dowód ataku opublikowano zrzut bazy danych, zawierający takie informacje jak między innymi:

• Imię i nazwisko;
• Datę (najprawdopodobniej zatrudnienia);
• Płeć;
• Adres e-mail;
• Stanowisko;
• Liczba godzin;
• Hasło.

Należy przy tym podkreślić, że w przypadku haseł zamieniono je na „REDACTED” (pol. okrojone). Cyberprzestępca opublikował 26 rekordów, każdy dotyczący innej osoby.

Podsumowanie

Z racji na brak publicznych stanowisk organizacji należy pamiętać o tym, że cyberprzestępcom nie wolno ufać. Konieczne jest również zwrócenie uwagi na to, że dowody ataku są bardzo mocne.

W ostatnich kilku miesiącach miały miejsce przynajmniej dwie sytuacje, kiedy grupa ransomware blefowała co do publikacji danych. Światła dziennego nie ujrzały rzekome wycieki danych z Starostwa Powiatowego w Jędrzejowie oraz Eurocert. Grupa RansomHub usunęła widoczność postów dotyczącą wspomnianych ataków.

Incydent zgłosiliśmy do CERT Polska. Przekazano nam, że zostaną podjęte odpowiednie kroki.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].