Cyberbezpieczeństwo

Przejęcie kont Lotto. Ostrzeżenie dla użytkowników

klawiatura lotto
Fot. Kiwithing/Flickr/domena publiczna / Jakub-gdPL/Wikimedia Commons/CC4.0 / Modyfikacje: CyberDefence24

Użytkownicy serwisu Lotto, którzy korzystają z takich samych danych logowania do innych platform, ściągnęli na siebie znaczące ryzyko. Nieznani sprawcy przejęli niektóre konta, uzyskując tym samym dostęp do danych osobowych oraz pozostałych profili. Totalizator Sportowy potwierdza incydent na łamach CyberDefence24.pl. 

Pod koniec listopada br. informowaliśmy o nieautoryzowanych próbach logowania do kont użytkowników Lotto. Ich przejęcie oznaczałoby, że osoby z zewnątrz mogły uzyskać dostęp do danych osobowych.

W komunikacie rozesłanym do klientów Totalizator Sportowy (prowadzący serwis lotto.pl) wskazał, że wykorzystane podczas incydentu dane logowania pochodzą z zewnętrznej bazy danych.

„Użyte do logowania dane pochodziły z niezwiązanej z Totalizatorem Sportowym zewnętrznej bazy, a problem dotyczył wyłącznie osób, które używają tych samych loginów i haseł na innych portalach” – potwierdza na łamach naszego portalu przedsiębiorstwo.

Dodaje, że sprawa dotyczy niewielkiego procenta wszystkich użytkowników zarejestrowanych w serwisie Lotto. Równocześnie firma zaznacza, że nie jest w stanie jednoznacznie stwierdzić, czy wykryto każde nieuprawnione logowanie. W związku z tym podjęto decyzję o wysłaniu specjalnego komunikatu do szerszego grona użytkowników.

Czytaj też

Zaalarmowano użytkowników

Totalizator Sportowy deklaruje, że po uzyskaniu pierwszych niepokojących informacji dotyczących incydentu, natychmiast podjęto działania.

„Niezwłocznie rozpoznaliśmy nietypową aktywność, dlatego też na bieżąco reagowaliśmy wprowadzając dodatkowe zabezpieczenia” – mówi nam spółka.

Jak podkreśla: „Informacja o tym zdarzeniu została przekazana w ciągu kilkudziesięciu godzin od jego rozpoczęcia do niewielkiej grupy użytkowników lotto.pl, dla których zidentyfikowaliśmy nieautoryzowane próby logowania w związku z używaniem przez nich tych samych loginów i haseł w innych serwisach”.

Czytaj też

Reakcja Totalizatora

Poza rozesłaniem do użytkowników komunikatu o możliwym incydencie i wskazaniem podstawowych zasad cyberbezpieczeństa, Totalizator Sportowy wskazuje, że podjęto również inne działania z myślą o klientach:

  1. Zablokowano dostęp do serwisu lotto.pl użytkownikom, na których kontach zostały zidentyfikowane nieautoryzowane próby logowania z możliwością odzyskania dostępu dopiero po zmianie hasła;
  2. Uruchomiono dodatkowe usługi z zakresu bezpieczeństwa serwisu;
  3. Okresowo wstrzymano możliwość wypłat środków z konta gracza na rachunek bankowy;
  4. Ograniczono możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch, tak aby nie można było wykonywać wielu prób logowań z jednego adresu zawierających różne loginy i hasła;
  5. Rozszerzono scenariusze wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu;
  6. Zamaskowano dane osobowe widoczne po zalogowaniu na profilu użytkownika.

Na tym jednak nie koniec. Firma deklaruje na naszych łamach wprowadzenie kolejnych zabezpieczeń, które pozwolą w jeszcze większym stopniu chronić użytkowników. Nie chce jednak zdradzać szczegółów na tym etapie. 

Czytaj też

Co robić?

Jeśli faktycznie posługiwaliśmy się takimi samymi danymi logowania na wielu serwisach, należy je zmienić. Wynika to z faktu, że przejęcie jednego konta pozwoli sprawcom uzyskać dostęp do pozostałych, co stanowi znaczące ryzyko. 

Do każdego konta/profilu powinniśmy dysponować osobnymi danymi logowania. Hasło powinno być silne, czyli składać się z ciągu liczb, dużych i małych liter, znaków specjalnych. Należy również włączyć opcję uwierzytelniania wieloskładnikowego (jeśli dostawca takie oferuje). Warto także korzystać z menedżera haseł.

W przypadku, gdyby nasze konto Lotto zostało przejęte, na skrzynkę możemy otrzymywać „dziwne” wiadomości, od np. rzekomo instytucji finansowych, z którymi nie jesteśmy w żaden sposób związani. 

„Dotyczy to w szczególności podawania danych za pośrednictwem Internetu lub przez telefon, zwłaszcza w przypadku, gdy kontakt nie jest inicjowany przez użytkownika, nawet jeśli rozmówca uwiarygadnia się tym, że zna dane identyfikacyjne” – wskazuje Totalizator Sportowy. 

To powinno wzbudzić naszą podejrzliwość.

„Dodatkowo wskazujemy na możliwość skorzystania z zastrzeżenia dokumentu tożsamości w systemie Dokumenty Zastrzeżone (więcej informacji na www.dokumentyzastrzezone.pl) i jego wymiany. Można też zamówić w systemie BIK (Biuro Informacji Kredytowej) darmowe raporty o zmianach na koncie lub płatne szczegółowe raporty o stanie kredytów” – radzi firma.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także