W ostatnim czasie krajowe media obiegła informacja o „jednym z największych jednorazowych wycieków w historii polskiego Internetu”. Medialne doniesienia wzbudziły panikę wśród wielu internautów. Czy naprawdę jest się czego obawiać?
Nagłośniony „wyciek” to tak naprawdę skutek działania złośliwego oprogramowania typu stealer. Wirus przez pewien wykradał dane, które następnie zostały opublikowane w Darknecie. W wyniku tego ujawnionych zostało kilka milionów loginów i haseł powiązanych z różnymi serwisami www.
W rzeczywistości dane pochodziły od samych użytkowników, których urządzenia zostały zainfekowane przez wspomniane oprogramowanie. W związku z tym pozostali użytkownicy tych samych serwisów nie mają się czego obawiać.
ZACZNIJMY OD POCZĄTKU
O „wycieku danych” jako pierwszy poinformował czytelników serwis Zaufana Trzecia Strona. W poniedziałek 29 maja br. na Cebulce (czyli polskojęzycznym forum w sieci Tor, za pomocą której można przeglądać ukryte strony internetowe) opublikowano ogromną bazę danych. Znajdowała się w pliku o nazwie „.pl.txt” i zawierała 6 274 679 wierszy. Plik składał się z adresów stron WWW, loginów oraz haseł.
Zgodnie z informacji podanymi w mediach, w ujawnionej bazie danych znajdowały się dane m.in. z następujących serwisów:
- com – 119 334 pozycji,
- pl – 88 282 pozycji,
- pl – 44 385 pozycji,
- onet.pl – 28 747 pozycji,
- wp.pl – 12 056 pozycji,
- x-kom.pl – 10 761 pozycji,
- net – 2672 pozycji,
- mbank.pl – 10 140 pozycji,
- pl 1227 – pozycji.
Powyższe zestawienie zawiera jedynie część z tysięcy domen, które znalazły się w bazie danych.
SKĄD POCHODZĄ DANE?
Złośliwego oprogramowanie, jakim jest „stealer”, po zainfekowaniu urządzenia pobiera loginy i hasła zapamiętane przez przeglądarkę, a następnie przesyła je do swojego twórcy.
Nie można jednoznacznie określić okresu z jakiego pochodzą dane. Jednak ze względu na fakt zawierania przez niektóre hasła ciągu „2023” można przypuszczać, że są one aktualne.
CZY JEST SIĘ CZEGO OBAWIAĆ?
Według informacji podanych przez Niebezpiecznik.pl zbiór danych po raz pierwszy został opublikowany na zagranicznych forach już 24 maja „przez bardzo aktywnego od lat użytkownika”. Niebezpiecznik podaje też, że w bazie znajduje się około jednego miliona adresów mailowych (z których nie wszystkie są prawdziwe). Natomiast dla większości zapisano w bazie po kilka różnych (prawdopodobnie kolejnych) haseł do danego serwisu.
Ponadto w bazie znajdowało się sporo innych nieprawidłowych danych, które nie stanowiły danych logowania. Te informacje znacznie obniżają skalę incydentu, którą początkowo nagłaśniały media.
CZY W BAZIE ZNAJDUJĄ SIĘ MOJE DANE?
Serwis HaveIBeenPwned.com oferuje narzędzie, za pomocą którego można sprawdzić czy informacje znajdujące się w tej ujawnionej bazie (lub pochodzące z innych wycieków) są powiązane z danym adresem e-mail.
Ponadto CERT Polska poinformował o stworzeniu wyszukiwarki, która jest dostępna pod adresem bezpiecznedane.gov.pl.
Jeśli w/w narzędzia wskazują, że Twoje dane wyciekły, podejmij następujące kroki:
- za pomocą programu antywirusowego sprawdź bezpieczeństwo swojego komputera,
- zmień używane dotychczas hasła do logowania,
- tam, gdzie jest to możliwe włącz weryfikacje dwuetapową,
- zwróć szczególną uwagę na próby logowania na Twoje konta poprzez sprawdzanie alertów przesyłanych na adres e-mail.