Niestety, informacje o wyciekach haseł pojawiają się regularnie. Często wynikają one z faktu, iż wciąż zbyt rzadko stosujemy podstawowe zasady bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe. Gdy ta prosta funkcja jest włączona, przejęcie konta jest znacznie trudniejsze, choćby jeżeli hasło trafi w niepowołane ręce.
Atak hakerski na Polaków – co dokładnie wyciekło?
Portal CyberDefense24.pl poinformował, iż na popularnym forum hakerskim udostępniono plik tekstowy zawierający ponad 200 tysięcy wierszy z danymi. Każdy z nich to pakiet informacji potrzebnych do zalogowania: adres URL serwisu, login (lub e-mail) oraz hasło. I to wszystko w otwartym tekście.
Dane najprawdopodobniej pochodzą z tzw. infostealera, czyli złośliwego oprogramowania, które po zainfekowaniu komputera (np. przez kliknięcie w spreparowany link) kradnie zapisane w przeglądarce loginy i hasła.
Zagrożenie jest niezwykle poważne, ponieważ w przeciwieństwie do wielu poprzednich incydentów, tym razem nie mamy do czynienia z zaszyfrowanymi hasłami, a z gotowymi danymi do logowania.
"Incydent jest szczególnie groźny dla osób niekorzystających z unikalnych haseł – wyciek może skutkować przejmowaniem kolejnych kont w innych serwisach" – napisał Oskar Klimczuk z CyberDefense24.pl. Incydent został zgłoszony do CERT.
Analiza wykradzionych danych wskazuje, iż celem ataku padły najpopularniejsze serwisy: od Facebooka i Gmaila, przez konta związane z grami komputerowymi (np. Epic Games), aż po dzienniki elektroniczne i portale rządowe w domenie gov.pl, w tym Profil Zaufany. Skala problemu dotyczy ponad 140 tysięcy unikalnych kont.
Jak sprawdzić, czy nasze dane wyciekły? Lepiej zabezpieczyć się na przyszłość
Jeśli masz podejrzenia, iż twoje dane mogły znaleźć się w sieci, nie wpadaj w panikę, ale działaj szybko. Poniżej znajdziesz kroki, które musisz podjąć, by zminimalizować ryzyko i zabezpieczyć się na przyszłość.
Krok 1: Sprawdź, czy dane są na liście
Istnieją bezpłatne i zaufane narzędzia, które pozwalają zweryfikować, czy adres e-mail pojawił się w znanych wyciekach (nie wiadomo, czy są już zaktualizowane o najnowszy atak). Najpopularniejsze z nich to:
Have I Been Pwned? – globalna i najbardziej znana baza danych o wyciekach.
Bezpiecznedane.gov.pl – oficjalna platforma rządowa, która agreguje informacje o zagrożeniach dla polskich internautów.
Mozilla Monitor – darmowa usługa od twórców przeglądarki Firefox, która skanuje sieć i wysyła alerty.
Menedżer haseł Google – jeżeli korzystasz z Chrome, przeglądarka sama poinformuje cię, jeżeli zapisane hasło pojawiło się w wycieku.
Krok 2: jeżeli twoje dane wyciekły, zrób to od razu
Krok 3: Zabezpiecz się na przyszłość
Najlepiej zapobiegać skutkom ataku, niż potem je niwelować. Używaj unikalnych i skomplikowanych haseł do każdego serwisu (dobry pomysł to korzystanie z menedżera haseł, który będzie je tworzył i bezpiecznie przechowywał).
Bądź czujny na próby phishingu, czyli fałszywe e-maile i SMS-y wyłudzające dane (ostatnio jest nowa metoda "na konkurs"). I najważniejsze: aktywuj 2FA (logowanie dwuskładnikowe) wszędzie tam, gdzie jest to możliwe.
