Możliwy wyciek danych Polaków z porównywarki dostawców Internetu

Wycieki danych z polskich przedsiębiorstw nie są niczym nadzwyczajnym. W styczniu br. informowaliśmy o kradzieży danych ze sklepu z armaturą łazienkową, który dotyczył ponad 200 tys. klientów. W marcu doszło do upublicznienia informacji o 600 tys. klientów sklepu z zabawkami dla dzieci.

Przypominamy: portal bezpiecznedane.gov.pl umożliwia sprawdzenie, czy informacje o nas zostały upublicznione przez cyberprzestępców, m.in. w wyżej wymienionych przypadkach.

Potencjalny wyciek danych

15 grudnia 2024 roku na znanym forum hakerskim ukazał się post sugerujący wyciek danych z portalu dostawcy-internetu(.)pl. Nie można jednoznacznie stwierdzić, że dane pochodzą z tej witryny, lecz bardzo wiele na to wskazuje, m.in. praktycznie identyczne nagłówki danych do pól, które znajdują się w formularzu na stronie służącej do zgłaszania zapotrzebowania na Internet.

Wiadomo jednak, że wyciek musi dotyczyć strony oferującej zapewnienie dostępu do sieci, na co wskazują treści zapytań. Próbka danych pochodzi najprawdopodobniej sprzed kilkunastu lat, o czym świadczą pożądane przepustowości łącza.

Cyberprzestępca oferuje sprzedaż 200 tysięcy rekordów, zapraszając do kontaktu przez Telegrama. Nie wiadomo, czy te twierdzenia są prawdziwe.

Analiza próbki danych

Dołączone rekordy dotyczą 25 osób. Każdy z nich zawiera:

• imię i nazwisko;
• adres e-mail;
• numer telefonu;
• adres – zazwyczaj miejsce zamieszkania;
• adres IP.

Większość wspomnianych rekordów obejmuje informacje o zapotrzebowaniu. Oto wybrane z nich (pisownia oryginalna):

• „Zapotrzebowanie na internet bezprzewodowy. Proszę o ofertę szczegółową";
• „Witam,czy jest możliwość podłączeni mi łącza i z jaką max przepustowością? Dziękuję i czekam na odpowiedź.";
• „zglaszam zapotrzebowanie na internet,prosze o szybki kontakt.";
• „Chodzi mi o stały dostęp do internetu chodzi mi o miarowy ping taki żeby był normalny czy to możliwe ze co miesiąc wychodzi 80zł proszę o pilną odpowiedź";
• „witam chciałabym zamówić net 700 kb za 35zł w m-cu. Proszę o kontakt telefoniczny, gdyż narazie nie mam internetu:) pozdrawiam";
• „1MB/s";
• „Dzień dobry czy ten internet jest z kafejki ??";
• „internet";
• „potrzebuje na potrzeby szkolne".

Autentyczność danych

Jedno z zapytań zostało nadesłane przez pracownika naukowego, korzystającego ze służbowego adresu e-mail. Adres IP wskazuje dziś na inną uczelnię z tego samego miasta.

Inne zapytanie dotyczy przedsiębiorcy posiadającego działalność gospodarczą od początku lat 90., który do dziś korzysta z tego samego adresu e-mail oraz świadczącego usługi w tym samym mieście co ponad 30 lat temu.

Kolejny z rekordów dotyczy osoby, która od niecałych dziesięciu lat prowadzi działalność gospodarczą pod adresem wymienionym w wycieku. Wraz z wspomnianymi wyżej zapytaniami o dostępność sieci są to bardzo mocne dowody, że informacje z próbki danych są autentyczne.

Reakcja firmy oraz dalsze kroki poszkodowanych

Kilka dni temu skierowaliśmy pytania do firmy poprzez adres mailowy wskazany do kontaktu. Do momentu publikacji artykułu nie otrzymaliśmy odpowiedzi. Incydent zgłosiliśmy do CERT Polska.

Osoby, których może dotyczyć incydent, powinny być szczególnie wyczulone na próby oszustwa. Naruszenie ochrony danych nie dotyczy numerów PESEL czy hashy haseł, lecz zawsze dobrą praktyką jest prewencyjne zastrzeżenie numeru PESEL, stosowanie unikalnych i silnych haseł oraz korzystanie z dwuetapowego uwierzytelniania.

Skala incydentu jest nieznana – zapewne jedyną etyczną możliwością jej określenia jest stanowisko organizacji odpowiedzialnej za prowadzenie portalu. Podkreślamy przy tym, że atrybucja ataku nie jest pewna.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].