Poważny wyciek danych logowania Polaków
Autor. Pixabay.com
Na znanym forum hakerskim opublikowano plik z danymi logowania Polek i Polaków. Dokument zawiera 200 tys. linijek oraz dotyczy ponad 140 tys. unikalnych kont. Niektóre z adresów e-mail pochodzą z domeny gov.pl. Incydent jest groźny, ponieważ zawiera adresy URL konkretnych serwisów, w tym mediów społecznościowych czy kont e-mailowych.
Wycieki danych logowania są jednym z lepszych dowodów na to, że konieczne jest korzystanie z dwuetapowego uwierzytelniania, co utrudnia przejęcie konta. Warto również pamiętać o odpowiedniej długości hasła - to z kolei utrudnia złamanie funkcji skrótu (w ten sposób przechowywane są hasła w dzisiejszych systemach).
Wycieki polskich haseł lub funkcji skrótu zdarzały się wielokrotnie na przestrzeni ostatnich kilkunastu miesięcy. Wśród nich warto wyróżnić m.in.:
- upublicznienie 24,5 mln rekordów w formacie mail:hasło (luty 2025);
- wyciek hashy haseł ze sklepu z armaturą łazienkową (styczeń 2025, hashe MD5 oraz bcrypt);
- wyciek hashy haseł z portalu dla modelek (lipiec 2024, hashe SHA-1).
Czytaj też
Wyciek danych logowania Polaków
W sieci upubliczniono plik tekstowy, zawierający ponad 200 tys. linijek. Każdy wiersz składa się z:
- adresu URL;
- adresu e-mail lub loginu;
- hasła w formie tekstu.
Dane najprawdopodobniej pochodzą z tzw. infostealera, czyli złośliwego oprogramowania, które wykrada m.in. dane logowania. Incydent jest szczególnie groźny dla osób nie korzystających z unikalnych haseł – wyciek może skutkować przejmowaniem kolejnych kont w innych serwisach.
Autor. Dane upublicznione przez cyberprzestępców
Przynajmniej część z wykradzionych danych logowania jest nowa – widać to na przykładzie haseł, które są tworzone z wykorzystaniem końcówki wskazującej na lata 2022-2025. W pliku udało się odnaleźć 386 takich fraz, zaś zero z końcówkami 2026 lub 2027.
Autor. Dane upublicznione przez cyberprzestępców
Czytaj też
Skala wycieku
Spośród 200 924 wierszy udało się wyodrębnić:
- 39 967 unikalnych portali, gdzie logowali się użytkownicy;
- 53 353 unikalnych loginów (innych niż e-mail);
- 89 141 unikalnych adresów e-mail;
- 142 249 unikalnych haseł.
Analiza portali logowania
Nową informacją względem poprzednich wycieków są portale, do których wykradziono dane logowania. Nie jest zaskoczeniem, że na czele listy znajdują się m.in. media społecznościowe oraz skrzynki pocztowe.
Można również dostrzec wiele stron związanych z grami komputerowymi (w tym launcherami oraz cheatami, czyli programami do oszukiwania) oraz dzienniki elektroniczne, co sugeruje, że infostealer celował w młodych użytkowników Internetu.
Autor. Pliki z wycieku
W wycieku można też znaleźć dane logowania do portali rządowych (w domenie gov.pl). Wśród witryn dominuje Profil Zaufany.
Autor. Pliki z wycieku
Czytaj też
Adresy e-mail
Adresy e-mail, które były wykorzystywane przez użytkowników, pochodzą z najpopularniejszych dostawców polskich skrzynek mailowych. Nie powinno być dla nikogo zaskoczeniem, że pięć najpopularniejszych domen adresów e-mail z wycieku wygląda następująco:
- wp.pl – 23 289 rekordów (26,1%);
- gmail.com – 21 340 rekordów (23,9%);
- o2.pl – 9019 rekordów (10,1%);
- interia.pl – 6698 rekordów (7,5%);
- onet.pl – 4350 rekordów (4,9%).
Warto przy tym podkreślić, że ponad połowa adresów e-mail pochodziła z domen wp.pl lub gmail.com, zaś z pięciu najpopularniejszych domen korzystało 72,5% użytkowników.
Rządowe maile
W pliku znalazło się 21 rekordów z mailami w domenie gov.pl, przy czym dwa adresy powtarzają się. Poniższa lista pokazuje, że dane logowania wykorzystujące rządowe adresy e-mail również zostały wykradzione przez cyberprzestępców.
Autor. Pliki z wycieku
Czytaj też
Hasła
Przeanalizowaliśmy hasła, które znalazły się w pliku. Po odrzuceniu skrajnych wartości (1-5 znaków) oraz usunięciu fraz niebędących hasłami okazało się, że niektóre z fraz były bardzo długie. Hasła o długości 33-79 znaków wystąpiły 39 razy.
Autor. Pliki z wycieku
Niezmiennie królują ośmioznakowe hasła, których było 25 417 (17,9%). Na drugim miejscu znalazły się 9-cio oraz 10-cio znakowe frazy (kolejno 16,6% oraz 16,4% wystąpień). Udział haseł dłuższych niż 12 znaków to 22,6%.
Autor. Opracowanie własne z wykorzystaniem sztucznej inteligencji
Porównajmy hasła
Warto porównać dane z omawianego wycieku danych do podobnych zbiorów. W tym celu posłużyliśmy się wartościami procentowymi (długości haseł) z wycieków z megamodels.pl, sklepbaterie.pl oraz pewnej combolisty (wycieku w formie mail:hasło).
Ciekawy jest zauważalny wzrost liczby haseł o długości 15 znaków. Wyciek omawiany w artykule został opisany na wykresach jako „URL list”.
Autor. Opracowanie własne z wykorzystaniem sztucznej inteligencji
Autor. Opracowanie własne z wykorzystaniem sztucznej inteligencji
Autor. Opracowanie własne z wykorzystaniem sztucznej inteligencji
Autor. Opracowanie własne z wykorzystaniem sztucznej inteligencji
Czytaj też
Ostrzeżenie
Hasła z wycieku omawianego w artykule są dłuższe niż te, które pochodziły z poprzednich zbiorów (combolisty oraz dwóch łamania hashy haseł) oraz wykazano ich wykorzystanie w praktyce (na konkretnych portalach).
W celu ochrony dostępu do swoich kont powinniśmy przede wszystkim wykorzystać dwuetapowe uwierzytelnianie (2FA/U2F) oraz stosować unikalne i odpowiednio skomplikowane hasła. Obecnie od liczby znaków specjalnych ważniejsza jest długość frazy, co dobrze opisał CERT Polska w swoim poradniku
Incydent zgłosiliśmy do CERT Polska.
Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?