W pierwszej połowie 2025 roku odnotowano aż 160% wzrost liczby wycieków danych logowania– wynika z najnowszego raportu Check Point External Risk Management (dawniej Cyberint). To nie tylko niepokojąca statystyka, a realne zagrożenie dla każdej firmy. W czołówce są kraje takie jak Brazylia, Indie czy Indonezja.
Choć największe liczby wycieków dotyczą państw największych i wysoce scyfryzowanych, to coraz częściej na liście zagrożonych państw pojawiają się też relatywnie mniejsze rynki, m.in. Argentyna, Wietnam czy Turcja. Świadczy to o rosnącej cyfryzacji tych regionów, ale też o ich podatności na cyberataki.
Problem dotyczy również Polski. Choć zakres jest niższy (Polska jest na 22 miejscu pod tym względem na świecie), to liczby wciąż robią ogromne wrażenie. Wg Surfshark w drugim kwartale 2025 roku doszło do 235 tys. wycieków kont w polskich firmach. Średnio oznacza to dwa naruszenia danych na minutę!
Jak dochodzi do wycieku danych logowania?
Cyberprzestępcy wykorzystują cały wachlarz technik, by zdobyć dane logowania. m.in.:
-
hakują bazy danych – włamania do baz danych firm, np. przez luki w oprogramowaniu czy kradzież kont administratorów.
-
Realizują kampanie phishingowe – oszustwa e-mailowe, SMS-owe lub głosowe, których celem jest wyłudzenie danych.
-
Dostarczają malware – złośliwe oprogramowanie, takie jak keyloggery (rejestrujące naciśnięcia klawiszy) czy spyware (szpiegujące użytkownika), może przechwytywać hasła bez wiedzy ofiary.
Co gorsza, wiele firm potrzebuje aż 94 dni, by zareagować na wyciek haseł, np. z publicznych repozytoriów takich jak GitHub. To ogromne „okno czasowe” dla cyberprzestępców, którzy mogą przez ten czas niepostrzeżenie wykorzystywać dane logowania.
Jak wyjaśniają analitycy Check Pointa, skradzione dane trafiają do podziemnych forów w sieci – zarówno tej jawnej, jak i tzw. deep i dark webu. Tworzy się z nich tzw. combo-listy, czyli zestawy loginów i haseł, które są sprzedawane i wykorzystywane do kolejnych ataków, np. przejęcia kont (ang. account takeover), oszustw socjotechnicznych (np. podszywanie się pod pracowników) czy wyłudzania danych finansowych. Atakujący stale rozwijają swoje metody – uczą się omijać choćby zabezpieczenia takie jak uwierzytelnianie wieloskładnikowe (MFA), dlatego nie wystarczy już jeden rodzaj obrony.
Jak się chronić? Wielowarstwowe podejście to konieczność
Eksperci Check Point wskazują na kilka kluczowych działań, które pomagają ograniczyć ryzyko:
- Regularna zmiana haseł i zakaz ich powtórnego używania w różnych systemach.
- MFA (Multi-Factor Authentication) – choć nie jest niezawodne, znacząco utrudnia dostęp do kont.
- SSO (Single Sign-On) – jedno bezpieczne logowanie do wielu usług zamiast wielu niezależnych haseł.
- Szkolenia antyphishingowe – pracownicy muszą rozpoznawać próby oszustwa.
- Zasada najmniejszych uprawnień (PoLP) – ograniczanie dostępu do danych wyłącznie do niezbędnych ról.
- Blokowanie stron trzecich – ograniczenie dostępu do niepewnych źródeł i aplikacji.
- Obrona sieciowa – m.in. firewalle i systemy wykrywania intruzów (IDS).
Złodzieje danych często nie wykorzystują wykradzionych loginów od razu. Dlatego najważniejsze jest wczesne wykrycie wycieku, zanim dane zostaną użyte. Specjaliści mogą skanować fora w dark webie i analizować tzw. „logi” publikowane przez cyberprzestępców, by wychwycić informacje powiązane z konkretną firmą, choćby jeżeli nie została wymieniona z nazwy.