Dowody osobiste Polaków widniały w sieci od miesięcy

6 maja 2024 roku cyberprzestępca o nicku „Dark_MoneyMaker” opublikował post na znanym forum hakerskim, który zawierał link do pobrania archiwum z danymi Polaków. Plik składa się z 124 katalogów, przy czym praktycznie każdy nazwany jest zgodnie z nazwiskiem ofiary.

Archiwum było dostępne do pobrania bez konieczności uwierzytelniania.

Zawartość katalogu

We wpisie cyberprzestępcy podkreślono, że dokumenty są „indywidualnie posortowane, dzięki czemu zdjęcia są niemożliwe do pomieszania”. Faktycznie tak było – ok. 115 katalogów jest nazwanych czyimiś nazwiskami.

Samo archiwum było nazwane „DO+selfie”, co wskazuje na polskojęzyczną osobę (DO jako skrót od „dowody osobiste”). Świadczą również o tym polskie dopiski przy nazwach niektórych katalogów, takie jak m.in. „doktor”, „brzydka” czy „agent”.

Katalogi nazwane nazwiskami składają się z zestawów podobnych do tych pokazanych poniżej. Każdy z nich zawiera zdjęcie twarzy oraz dwie strony dowodu osobistego. Nie minęła również ważność praktycznie wszystkich wspomnianych dokumentów.

Data utworzenia plików to styczeń 2024. Wiele wskazuje na to, że większość zdjęć pochodzi z końca 2023.

Niepokojące znaleziska

Nietypowe jest to, że w plikach znajdowały się również tzw. seed phrase do portfeli kryptowalutowych, czyli unikalna fraza składająca się z 12 słów, która stanowi zabezpieczenie dostępu do środków. Udało nam się znaleźć trzy zdjęcia z takimi danymi.

Jeszcze bardziej zastanawiające jest zdjęcie starszej osoby, która trzyma kartkę w ręku. Z racji na poszanowanie jej prywatności nie dołączono go w artykule.

Oprócz tego zawarto kilka plików tekstowych, gdzie znajduje się m.in. adres e-mail oraz adres Ethernum (kryptowaluty). Można też dotrzeć do danych logowania do serwerów SOCKS5 proxy oraz ich adresów IP, portów itd. Serwery są zlokalizowane w Holandii.

Inne pliki

W archiwum umieszczone było również zdjęcie dowodu rejestracyjnego pojazdu. W katalogu „dowody” umieszczono wiele nieposortowanych zdjęć i skanów dokumentów, takich jak:

• legitymacje studenckie;
• karty Europejskiego Ubezpieczenia Zdrowotnego;
• holenderski dowód rejestracyjny;
• białoruskie paszporty;
• dowody osobiste.

Ponad połowę ze 108 elementów stanowiły polskie dowody osobiste.

Firma zareagowała w kilka minut

Powyższy przykład dobitnie pokazuje, że należy bardzo ostrożnie obchodzić się ze zdjęciami dokumentów. Może to skutkować kradzieżą naszej tożsamości, tak jak – wielce prawdopodobne – było w tym przypadku. Jeżeli ktoś oferuje nam niebotyczne zyski w kryptowalucie i wymaga zdjęcia naszego dokumentu tożsamości, warto zgłosić to odpowiednim służbom.

Wysłaliśmy zgłoszenie hostingodawcy z prośbą o usunięcie widoczności katalogu. Firma zareagowała błyskawicznie i link przestał działać w przeciągu dziewięciu minut. Przekazano nam również, że konto odpowiedzialne za publikację danych zostało zamknięte. To pokazuje, że zgłaszanie szkodliwych treści w internecie ma sens, choć oczywiście wszystko zależy od platformy.

O zdarzeniu równocześnie poinformowaliśmy CERT Polska oraz Centralne Biuro Zwalczania Cyberprzestępczości.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].