Moje dane wyciekły. Jak należy zareagować?

„Wyciek danych” to dość ogólne pojęcie – nie precyzuje, jakie informacje zostały wykradzione z serwerów. Nie określa również tego, kto uzyskał do nich dostęp. W razie wystąpienia jakiegokolwiek incydentu, związanego z nieuprawnionym dostępem do danych, warto pamiętać o tych dwóch wymienionych aspektach.

Wyciek wyciekowi nierówny

31 października br. Itaka poinformowała o uzyskaniu nieuprawnionego dostępu do danych klientów przez osobę lub grupę osób. W zawiadomieniu stwierdzono, że cyberprzestępcom udało się wykraść poniższy zestaw informacji o minimum 10 tys. klientów:

• adres e-mail;
• imię i nazwisko (opcjonalnie);
• numer telefonu (opcjonalnie).

Spółka niezwłocznie zapewniła, że nie doszło do upublicznienia m.in. numerów PESEL. Jest to zgodne z postem na X portalu Bezpieka, który 30 października informował o wystąpieniu omawianego zdarzenia.

W kolumnie „password” możemy dostrzec, że frazy zaczynają się od „$2y$” oraz „$argon2id$”, wskazujące na algorytmy Bcrypt oraz argon2. Obecnie serwisy nie przechowują naszych haseł jako tekst (lub absolutnie nie powinny), lecz hash – z założenia nieodwracalną funkcję skrótu, która za pomocą odpowiednich algorytmów generuje unikalny ciąg znaków o tej samej długości dla dowolnej frazy.

Przykładowo, dla frazy „CyberDefence24” poniższe funkcje skrótu wyglądają następująco:

• SHA-1: d48c66332a5eeb82f1c8440adabf106a0d556b7f
• MD5: 35399a8a6f7674612d30b5c1bbe0f290
• Bcrypt: $2a$10$n/eJXhpMTDSw8wYTsaDonuHCrUSHI.Smsu/Tbt108Ml3NWIYASEV2
• argon2: $argon2i$v=19$m=4096,t=3,p=1$c29tZXNhbHQ$HfLPp+JskEeOeoM6nntcZvgf9kTg4mJI3D7iJ3AZTFk

Hashe haseł

Naturalne pytanie dotyczy tego, jak „złamać” taki hash, czyli doprowadzić go ponownie do postaci tekstu. Robi się to za pomocą odpowiednich narzędzi, np. hashcata, domyślnie zainstalowanego m.in. w Kali Linuxie. Warto jednak dodać, że do takiego działania potrzebujemy bardzo długiej listy słów (tzw. wordlisty).

„Posiadasz hash hasła i nie możesz go zamienić w hasło zapisane jawnym tekstem. Możesz jednak wziąć słownik milionów potencjalnych haseł, jedno po drugim hashować (funkcja kryptograficzna, wykonywana lokalnie na komputerze) i czekać, aż wygenerujesz hash dokładnie taki jak zdobyłeś z bazy danych. Hasło dla tego hasha musi być dokładnie takie, jakie przed chwilą zahashowałeś, więc znasz już jego formę jawną” – opisuje ten proces Bezpieka na X.

W przypadku wycieku hashy haseł, kluczową rolę odgrywa wykorzystany algorytm, co doskonale pokazuje porównanie w przywołanym wcześniej komentarzu. Parafrazując, sekunda obliczeń z wykorzystaniem karty graficznej RTX4090 pozwoli nam na sprawdzenie 164 000 000 000 (164 mld) hashy MD5 (pochodzącego z 1992 roku), zaś jedynie 1500 hashy algorytmu argon2.

Oznacza to, że wyciek hashy haseł z Itaki najprawdopodobniej nie będzie umożliwiał przejmowania kont z wykorzystaniem wykradzionych danych logowania.

„W przypadku tak dużej bazy i zastosowaniu argon2, łamanie jest nieopłacalne” – stwierdziła Bezpieka. Niestety, nie zawsze taka sytuacja ma miejsce.

Słabe hashe, jeszcze słabsze hasła

Jeżeli obawiamy się wycieku naszych danych logowania wskutek ataku na bazę danych, kluczowa dla nas jest informacja o wykorzystywanym algorytmie hashowania oraz ew. „soli i pieprzu” – elementów utrudniających odwrócenie hasha.

Byliśmy świadkami wycieków baz danych, które wykorzystywały przestarzałe algorytmy do generowania funkcji skrótu. Mowa tutaj m.in. o wyciekach baz danych z megamodels.pl (luty/lipiec 2024) oraz sklepbaterie.pl (styczeń 2025). Witryny wykorzystywały kolejno algorytmy SHA-1 (1993 rok) oraz wspomniane już MD5. Takie hashe były dość łatwe do „odgadnięcia”, co pokazują analizy.

Warto jednak dodać, że wciąż ważne pozostaje stosowanie unikalnych haseł. Niektóre z haseł w obydwu plikach powtarzały się – najprawdopodobniej dlatego, że były dość prosto skonstruowane. Zarówno w wycieku ze strony dla modelek i sklepu z armaturą łazienkową, konta wykorzystywały poniższe hasła (wybrane z 1374 takich fraz):

• „niezapominajka";
• „transformator";
• „legiawarszawa";
• „skierniewice";
• „Radomiak1910".

Dobre hasło, mniejsze ryzyko

Bardzo ważnym elementem bezpieczeństwa w sieci są unikalne hasła o odpowiednim skomplikowaniu. Dzięki temu, zdecydowanie trudniej będzie je odwrócić z wykradzionych hashy (funkcji skrótu).

Analiza haseł z czterech wycieków pokazuje jednoznacznie, że krótkie hasła wciąż odgrywają bardzo ważną rolę. Co ważne, dane w formie tekstu obrazują, że hasła „odgadnięte” z hashy prostych algorytmów są niewiele krótsze od tych, które zostały wykradzione wskutek działania infostealera (złośliwego oprogramowania, służącego m.in. do wykradania danych logowania).

Przykładowe hasła, zgodne z poradnikiem CERT Polska, powinny wyglądać następująco:

• BardzoLubieSluchacJazzuPoniedziałkami!;
• M4łyK0t3kBu5zuj3wk4rt0n1ku;
• 1CiemnyLasAleBardzo!Duzy!.

Warto również stosować menedżery haseł, które pozwolą nam na stosowanie unikalnych haseł bez konieczności zapamiętywania ich. Nie można również zapominać o dwuetapowym uwierzytelnianiu wszędzie tam, gdzie to możliwe – dzięki temu nawet w przypadku wycieku loginów i haseł, nasze konta mogą być znacznie lepiej zabezpieczone.

Naruszenie ochrony danych osobowych

Kolejnym ważnym aspektem jest naruszenie ochrony danych osobowych. Warto podkreślić, że często dochodzi do nich wskutek ataków ransomware, co pokazują incydenty w administracji publicznej, m.in. upublicznienie 2 tys. odpowiedzi na zapytania policji o udostępnienie danych dotyczących zarejestrowania jako bezrobotny z Powiatowego Urzędu Pracy w Żorach.

Ostatnio poważnym incydentem był nieuprawniony dostęp do danych klientów SuperGrosz. Spółka odpowiedzialna za świadczenie szybkich pożyczek online poinformowała o wycieku poniższego zestawu informacji, co obszerniej opisaliśmy w artykule z 2 listopada br.:

• imiona i nazwiska;
• adresy zamieszkania, pobytu, do korespondencji;
• numery telefonów i adresy e-mail;
• numery PESEL
• data wydania, data ważności oraz numer dowodu osobistego;
• nazwa, adres, NIP oraz telefon do pracodawcy;
• informacje o liczbie dzieci i statusie związku małżeńskiego;
• numery rachunków bankowych;
• zadeklarowany dochód;
• hashe haseł do kont w serwisie Supergrosz.

Warto zaznaczyć, że każdemu zaleca się zastrzeżenie numeru PESEL – niezależnie od tego, czy nasze dane wyciekły do sieci. Portal Niebezpiecznik podkreśla, że ustrzeże to nas przed próbami wyłudzeniami pożyczki czy wyrobienia duplikatu karty SIM.

Co robić?

Jeżeli podejrzewamy, że nasze dane osobowe zostały wykradzione, kluczowe jest zidentyfikowanie zakresu naruszenia. Gdy wiemy, że mogło dojść do kradzieży serii i numeru naszego dowodu osobistego, warto prewencyjnie wyrobić nowy dokument oraz unieważnić dotychczasowy. W tym procesie zaleca się również poinformowanie banku.

Jeśli wyciekły nasze dane kontaktowe, musimy uzbroić się w dużą dozę braku zaufania wobec potencjalnych prób kontaktu z nami (którą warto mieć niezależnie od incydentów). Dotyczy to nawet sytuacji dość ekstremalnych, kiedy ktoś po drugiej stronie słuchawki posługuje się naszymi danymi osobowymi. W przypadku otrzymania nagłęgu telefonu z banku lub jakiejkolwiek innej instytucji, która rzekomo pragnie wymusić na nas podjęcie niezwłocznego działania, warto rozłączyć się i samodzielnie wykonać połączenie na numer widniejący w publicznym miejscu (np. stronie internetowej).

Warto również rozważyć wykupienie usług m.in. Biura Informacji Kredytowej (BIK) czy Chroń PESEL. W przypadku prób wykorzystania naszej tożsamości, należy niezwłocznie zgłosić ten fakt policji oraz przechowywać wszelkie dowody.

Pamiętaj, że niezależnie od postępowania przez UODO masz prawo do ochrony swoich praw przed sądem cywilnym. Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy prawa, możesz pozwać administratora lub podmiot przetwarzający. Przed sądem możesz żądać odszkodowania za naruszenie przepisów o ochronie danych osobowych, które spowodowało szkodę majątkową lub niemajątkową. Ta kwestia może być rozstrzygnięta wyłącznie przed sądem powszechnym. W postępowaniu przed Prezesem Urzędu nie można tego uczynić.
UODO, „Składanie skarg”, uodo.gov.pl/pl/526/2464

Czy moje dane wyciekły?

W sieci dostępne są darmowe portale umożliwiające sprawdzenie obecności danych w wyciekach, takie jak m.in. Have I Been Pwned czy rządowe Bezpieczne Dane. Należy podkreślić, że najnowsze incydenty mogą nie być uwzględnione w wspomnianych źródłach – wymagany jest czas do analizy pod kątem m.in. prawdziwości zbiorów danych. W Bezpiecznych Danych uwzględniono wiele ważnych polskich wycieków, m.in. dane wykradzione z portalu BabyHit.

W przypadku wycieku z supergrosz.pl dane zostały niezwłocznie uwzględnione w rządowym portalu. Zachęcamy klientów SuperGrosza do odwiedzenia Bezpiecznych Danych.

Wyciek danych nie musi oznaczać tragedii, lecz (niestety) może od nas wymagać podjęcia kroków niezbędnych do uniemożliwienia kradzieży tożsamości. Warto również pamiętać, że część podawanych przez nas danych może być dobrowolna, tzn. ich podanie nie jest wymagane przez dany portal, na przykład podczas rejestracji konta.

„Czasami przestępcy nie celują w żadną konkretną osobę i po prostu skupują masowo dane. A wtedy dzwoni do Ciebie Klara Sobieraj z ofertą instalacji fotowoltaiki, albo pragnie zaprosić na pokaz materacy ortopedycznych lub innych szwajcarskich garnków” – stwierdziła Bezpieka w artykule poświęconym wyciekom danych.