Wyciek danych to nie tylko „incydent”, lecz problem na lata

Marek Olszewski na łamach CERT Orange Polska podkreśla, że wycieki danych przestają być incydentami z jasnym początkiem, kulminacją i finałem. „Dziś coraz częściej jest to proces rozciągnięty w czasie. Może trwać latami, być trudny do zauważenia i jeszcze trudniejszy do zatrzymania” – czytamy w artykule.

Rok 2025 tylko to potwierdził: granica między nowym wyciekiem a ponownym wykorzystaniem starych danych wyraźnie się zatarła.
Marek Olszewski, „Wyciek danych to już nie incydent, lecz długotrwałe zagrożenie", CERT Orange Polska

Ogromne zbiory danych na sprzedaż

Analityk cyberbezpieczeństwa ostrzega, że w obiegu już funkcjonują ogromne zbiory danych, które „bywają uzupełniane, łączone i odsprzedawane dalej przez grupy przestępcze”. Olszewski podkreśla zmianę podejścia cyberprzestępców, którzy dla osiągnięcia swoich celów niekoniecznie muszą włamywać się do systemów – po prostu logują się do danego konta, co opisywaliśmy na łamach naszego portalu.

Ekspert CERT Orange podkreśla, że niestety dane logowania wykradzione lata temu wciąż bywają aktualne (w tym na różnych portalach). Mowa tutaj zarówno o hasłach oraz adresach e-mail (wykorzystywanych do wielu usług).

„W praktyce oznacza to jedno: Twoje dane mogły wyciec dawno temu… ale zagrożenie jest całkowicie aktualne” – podkreślono w opracowaniu.

Jak cyberprzestępcy zdobywają dane logowania?

Jednym z głównych źródeł pozyskiwania nowych danych logowania jest działanie złośliwego oprogramowania – konkretnie tzw. „infostealerów”. Olszewski zaznacza, że malware tego rodzaju jest w stanie wykradać nie tylko hasła, lecz również:

• zapisane sesje;
• pliki cookies („ciasteczka");
• historię przeglądania.

We wrześniu ubiegłego roku opisywaliśmy upublicznienie pliku z danymi logowania do ponad 140 tysięcy unikalnych kont z Polski. Struktura pliku, uwzględniająca również konkretne adresy URL portali, wskazuje na wykorzystanie wspomnianych infostealerów do zebrania danych.

W lutym 2025 roku byliśmy świadkami wycieku ponad 10 milionów unikalnych par danych logowania do polskich kont.

Kolejnym z wektorów pozyskiwania danych logowania są wycieki danych z portali internetowych. Hasła są przechowywane jako funkcje skrótu (hashe), wobec czego o możliwości „odwrócenia” czy „odgadnięcia” hasła decyduje wykorzystany algorytm hashowania oraz złożoność hasła.

Poświadczenia logowania bywają również wykradane wskutek ataków phishingowych.

Realne incydenty

W przeszłości byliśmy świadkami poważnych incydentów w polskich organizacjach, które opierały się na nieuprawnionym wykorzystaniu danych logowania. Najlepszym przykładem jest niedawny atak ransomware na Uniwersytet Warszawski – w komunikacie dot. naruszenia ochrony danych osobowych znalazło się następujące stwierdzenie:

Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika.
Uniwersytet Warszawski

W obecnie nieprawomocnej decyzji Prezesa UODO dotyczącej kary w wysokości 1,5 mln złotych dla spółki American Heart of Poland wskazano, że błędna konfiguracja domeny i słabe hasła zwiększały „możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie”.

W Komunikacie Pełnomocnika Rządu ds. Cyberbezpieczeństwa dotyczącego ataku na firmę EuroCERT wskazano, że wykradzione pliki mogą obejmować „dane dostępowe”. W przeszłości byliśmy świadkami minimum dwóch ataków ransomware (PGD oraz SuperDrob), gdy doszło do upublicznienia danych logowania (na małą skalę).

Jak się chronić?

Zgodnie z rekomendacjami CERT Polska, zaleca się wykorzystywanie minimum 14 znakowych haseł, złożonych z kilku fraz – np. „RóżowaPaczkaChusteczekNaStole”. Dzięki temu będą o wiele trudniejsze do odgadnięcia w przypadku wycieku bazy z hashami haseł.

Wśród zaleceń CERT Orange znalazło się m.in.:

• korzystanie z unikalnych haseł (wykorzystywanych nie więcej niż raz);
• wykorzystywanie dwuetapowego uwierzytelniania;
• korzystanie z menedżera haseł;
• monitorowanie aktywności na kontach (pod kątem nietypowych logowań).

Niezmiennie zachęcamy do zastrzeżenia swojego numeru PESEL.