W tym tygodniu doszło do publikacji dużego zbioru danych wykorzystywanych do logowania przez polskich użytkowników. W ramach tego wycieku udostępniono ponad milion unikalnych rekordów z loginem oraz hasłem do różnych stron. W związku z tym jednostki odpowiedzialne za cyberbezpieczeństwo w Polsce, w tym CERT Polska, podjeły odpowiednie działania w celu ograniczenia skutków tej sytuacji.
Jak przestępcy uzyskali dostęp do danych logowania
W trakcie analizy zbioru danych, zespół CERT Polska wykazał, iż dane znajdujące się w wycieku są złączeniem wielu mniejszych zbiorów pozyskanych przez złośliwe oprogramowanie typu stealer.
W związku z tym, przestępcy mieli dostęp zarówno do haseł wpisywanych na klawiaturze, a także do danych logowania zapisanych w przeglądarkach czy menedżerach haseł.
Jakie kroki podjął nasz zespół
Oprócz analizy danych znajdujących się w wycieku, nasz zespół podjął się również działań, które miały na celu powiadomienie jak największego grona odbiorców. Udostępniliśmy informacje na temat upublicznionych kont użytkownikom systemu n6 oraz powiadomiliśmy mailowo wiele instytucji, w szczególności administratorów rozpoznawalnych skrzynek pocztowych. Na moment pisania artykułu przesłaliśmy powiadomienia dotyczące ponad miliona unikalnych maili oraz loginów. Dodatkowo udostępniliśmy upublicznione dane portalom HIBP oraz Bezpieczne Dane, które umożliwiają każdemu weryfikację czy dane konto lub email pojawił się w wycieku.
Jak możecie sprawdzić czy Wasze konto znalazło się w wycieku
W związku z dużą skalą wycieku, zachęcamy Was do sprawdzenia, czy Wasze dane znajdują się w upublicznionym zbiorze. Nasz zespół zasilił dwa serwisy internetowe w dane z wycieku, dzięki czemu możecie zweryfikować czy padliście ofiarą tego zdarzenia.
Możecie to zrobić na stronach:
- https://haveibeenpwned.com - popularny serwis stworzony przez Troya Hunta, który od lat umożliwia zweryfikowanie czy Wasze konto padło ofiarą większych wycieków. Co więcej, strona ta pozwala zweryfikować informacje na temat wycieków odnośnie całej nazwy domeny, co może być użyteczne dla wielu firm, chcących zweryfikować skalę wycieku w ich strukturach,
- https://bezpiecznedane.gov.pl - serwis stworzony przez COI, który po zalogowaniu poprzez Profil Zaufany umożliwia zweryfikowanie czy dane konto lub email znalazło się w wycieku. Na obecną chwilę w tym serwisie dostępne są dane wyłącznie ze wspomnianego wcześniej incydentu.
Co możecie zrobić, o ile Wasze dane są w wycieku (lub chcecie poprawić bezpieczeństwo swojego konta)
Zachęcamy do podjęcia następujących kroków:
- Użyjcie programu antywirusowego, żeby sprawdzić bezpieczeństwo swojego komputera. Należy jednak zwrócić uwagę, iż antywirusy mogą nie wykryć zagrożenia. o ile zatem zachodzi podejrzenie, iż system może być zainfekowany, najlepiej przywrócić go do stanu fabrycznego,
- Korzystając z zabezpieczonego lub wyczyszczonego komputera zmieńcie hasła do logowania, których używaliście dotychczas.
Ważne! jeżeli do logowania na różnych serwisach wykorzystywaliście to samo hasło, zmieńcie je również na pozostałych stronach! Nie powielajcie też haseł między serwisami!, - Włączcie dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową,
- Zwróćcie szczególną uwagę na próby logowania na konta, sprawdzajcie alerty przesyłane na adres e-mail.
Instrukcje włączenia wieloskładnikowego uwierzytelniania w najpopularniejszych serwisach można znaleźć na https://cert.pl/2etapy/.
Poradnik na temat mechanizmów logowania i tworzenia dobrych haseł można znaleźć na https://cert.pl/posts/2022/01/kompleksowo-o-haslach/.
Poradnik zabezpieczenia swojej poczty i kont w mediach społecznościowych można znaleźć na https://cert.pl/uploads/docs/CERT_Polska_Bezpieczna_poczta_i_konta_spolecznosciowe.pdf.
Informacje na temat złośliwego oprogramowania, które służyło do pozyskania danych znajdujących się w aktualnym wycieku można znaleźć na https://cert.pl/posts/2023/02/information-stealer/.
Informacje na temat najnowszych zagrożeń można znaleźć śledząc profile zespołu CERT Polska na Facebooku albo Twitterze.