Setki tysięcy danych Polaków wyciekły. W 2017 ofiarami ataków były największe firmy

Rok 2017, zdaniem ekspertów z ESET, był bez wątpienia rokiem ransomware, tj. zagrożeń, które blokują dostęp do urządzenia lub danych na nim zgromadzonych, żądając okupu za ich przywrócenie. I trudno się dziwić, skoro złośliwe oprogramowanie szyfrujące dyski w 2017 roku sparaliżowało niemal całą Ukrainę i wiele firm w Europie. Ale przecież ransomware to nie tylko niesławne ataki WannaCry oraz Petya, ale też nieco mniejsze wirusy, które atakowały zwykłych użytkowników, wyłudzając od nich pieniądze. Choć sprytnie ukryte szkodliwe oprogramowanie, schowane w załącznikach czy fałszywych aplikacjach, wyrządziły wiele szkód, to wciąż olbrzymim zagrożeniem byli “tradycyjni” hakerzy. Przypominamy najgłośniejsze przypadki wycieku danych z 2017 roku.

Już w grudniu wyciekła baza danych zawierająca 1,4 mld haseł do kont zapisanymi jawnym tekstem. Składa się z kilkuset wycieków danych, zarówno wcześniej znanych, jak i nieznanych. Z badań serwisu Zaufana Trzecia Strona wynikało, że co najmniej 10 mln haseł należy do polskich kont. Co najmniej, bo przecież nie każdy Polak korzysta ze skrzynek w domenach “PL”. Do każdego adresu przypisane było hasło.

Wśród najpopularniejszych haseł do Polaków należało “123456”, “qwerty” czy “polska”. Na sto najpopularniejszych haseł, aż 43 z nich to imiona! 17 składało się z różnych wzorów, a 16 z samych cyfr. 8 powstało na podstawie “miłosnych” skojarzeń (m.in. misiek, kochanie, myszka czy kochamcie), a 3 odnosiły się do pewnej części ciała.

Lekcja na 2018 rok? Tworzyć znacznie silniejsze hasła. Podpowiadaliśmy, jak to zrobić.

Wprawdzie wyciek danych z Ubera miał miejsce w październiku 2016 roku, ale dopiero w listopadzie 2017 się o nim dowiedzieliśmy. A to dlatego, że firm go zataiła, płacąc 100 tys. dolarów hakerom, by zniszczyli wykradzione informacje. Cyberprzestępcy weszli w posiadanie danych aż 50 mln pasażerów i 7 mln kierowców. Chodziło o takie informacje jak imiona i nazwiska, numery telefonów oraz adresy mailowe.

Pod koniec grudnia dowiedzieliśmy się, że ofiarą ataku na Uber padli również Polacy. Przybliżona liczba osób objętych wyciekiem to 70 tys. użytkowników usługi z Polski: zarówno kierowców, jak i pasażerów.

W przypadku Ubera wyciek był szokujący z dwóch powodów. Po pierwsze, Uber dogadał się z hakerami, co nie zawsze jest dobrym rozwiązaniem - nawet zwykłym użytkownikom eksperci do spraw bezpieczeństwa zalecają, by nigdy nie płacili oszustom okupu. W końcu nie mamy pewności, że włamywacz słowa dotrzyma. Zresztą trudno ufać komuś, kto zajmuje się kradzieżą danych.

Po drugie, Uber zataił fakt, że do wycieku doszło. Niestety to smutna praktyka wielkich firm, które ze względów wizerunkowych wolą milczeć o szczegółach. A użytkownicy jak zawsze dowiadują się na końcu.

Dane pacj

entów i pracowników Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole były przechowywane na niezabezpieczonym w żaden sposób serwerze. Mógł je pobrać i wykorzystać każdy, kto trafił na adres serwera. A mówimy tu o tak poufnych danych, jak imię, nazwisko, PESEL, adres zamieszkania, grupa krwi, numer ubezpieczenia, a nawet wyniki niektórych badań. Znalazł się też rejestr osób, które chorowały na choroby zakaźne z informacją, co było czynnikiem chorobotwórczym oraz datą rozpoznania. Znalazły się więc informacje, które można było wykorzystać np. do wzięcia pożyczki.

To największy ujawniony incydent tego typu w polskiej służbie zdrowia.

W sierpniu ogromna baza danych inPostu wyciekła do sieci. Najwięcej ujawnionych danych dotyczy pracowników i współpracowników - wyciek dotknął ponad 57 tys. osób, a do sieci trafiły m.in. ich imię, nazwisko, PESEL, nr dowodu osobistego, a nawet data zatrudnienia czy zwolnienia.

Oprócz tego baza składała się z listy ponad 100 użytkowników, głównie z banków (sądząc po adresach email), wraz z ich jawnymi hasłami czy listę zawierającą imiona i nazwiska ok. 140 klientów (nie wiadomo, czy nadawców, czy odbiorców), którzy powiązani byli z paczkami nadanymi 30 czerwca 2017 wraz z numerami przesyłek.

InPost tak komentował wyciek:

"Opisywana sprawa dotyczy incydentu z zakresu bezpieczeństwa danych naszych pracowników z połowy ubiegłego miesiąca (czyli lipca - dop. red.). Co ważne, bezpieczeństwo danych naszych klientów nie zostało w jakikolwiek sposób naruszone. Incydent ten został zgłoszony na Policję, obecnie prowadzone jest śledztwo w sprawie podejrzenia popełnienia przestępstwa więc o szczegółach nie możemy informować. Dział Bezpieczeństwa InPost niezwłocznie podjął odpowiednie działania zabezpieczające" - mówił Wojciech Kądziołka, rzecznik prasowy InPost S.A.

W wyniku ataku na serwery firmy Wonga.com, atakujący pozyskali dane 245 tys. klientów z Wielkiej Brytanii i około 22 tys. z Polski. W ręce cyberprzestępców mogły trafić takie informacje jak imię, nazwisko, adres mailowy, numer telefonu, ostatnie 4 cyfry numeru karty płatniczej, numer rachunku bankowego, a także PESEL i numeru dowodu osobistego.

Dokładnych liczb związanych z lipcowym wyciekiem danych z serwisu Red is Bad nie znamy. Od początku mówiło się jednak o “setkach tys. klientów” sklepu z patriotyczną odzieżą. Dane zostały udostępnione w sieci i dosłownie każdy mógł je pobrać. Do ściągnięcia były takie informacje jak imię i nazwisko, adres mailowy, numer telefonu i adres zamieszkania.

W tym przypadku liczba może nie robić wrażenia, bowiem chodzi “tylko” o 3500 klientów czterech polskich banków. Konsekwencje wycieku mogły być dla tych osób bardzo poważne, bo ich dane trafiły na czarny rynek.

Informacje, które były do kupienia, to m.in. pełne dane teleadresowe, adresy e-mail, nr rachunków oraz ich salda. Kwoty na rachunkach poszkodowanych klientów miały wynosić od 10 tys. do 100 tys. złotych. Wśród informacji do kupienia nie było natomiast loginów i haseł. To tylko pozornie dobra wiadomość, skoro Polacy niezbyt dobrze zabezpieczają swoje konta.

Ogłoszenie o sprzedaży danych ponad 3500 klientów pojawiło się na forum w sieci TOR. Sprzedawca chciał 3 zł za dane każdego klienta. Kupić można było dane 143 klientów z Credit Agricole, 1990 Idea Banku, 439 ING Banku Śląskiego i 964 z mBanku.

Czasami niepotrzebni są hakerzy, by poufne dane Polaków były dostępne jak na tacy. Na stronie, która umożliwia zbieranie podpisów pod petycjami, można było w sierpniu znaleźć dokładne dane adresowe kilkudziesięciu osób. Imię i nazwisko, nr dowodu, nr PESEL i adres zamieszkania były widoczne dla każdego, kto wszedł na stronę. Nawet, jeśli się nie zalogował lub nie podpisał petycji. Dlaczego?

Osoby podpisujące petycję mogą zdecydować o tym, czy chcą, aby ich dane były widoczne. Opcja uwidaczniania jest domyślnie włączona, więc większość podpisujących pewnie nawet nie wiedziała, że się na to zgodziła. To cenna nauczka - wystarczy chwila nieuwagi, by samemu, przez przypadek, ujawnić poufne informacje na swój temat.

Podobną historię zaobserwowaliśmy miesiąc wcześniej, w lipcu. CV, umowy, dowody osobiste, paszporty, formularze PIT - to wszystko było łatwo dostępne dla niemal każdego w sieci. Po prostu poufne dokumenty wrzucane były do serwisu, który zajmuje się przechowywaniem plików. Sęk w tym, że użytkownicy nie doczytali regulaminu, w którym napisano: “treści zamieszczane w portalu Docer.pl są dostępne dla wszystkich użytkowników internetu”. Wystarczyło więc wpisać w wyszukiwarkę serwisu lub Google’a hasło, np. “dowód”, by od razu uzyskać wrzucone skany.

Administratorzy serwisu szybko wykasowali poufne pliki wrzucone przez użytkowników. Wina nie leżała jednak po ich stronie - odpowiedzialni byli ci, którzy nie przeczytali regulaminu i bez żadnych obaw wrzucali do sieci np. dokumenty czy ważne umowy. Oby te lekcje czegoś internautów nauczyły i w 2018 roku podobnych przypadków było mniej…

Czasami to nie hakerzy kradną dane z firm. Bywa, że koniem trojańskim okazuje się pracownik, który po cichu przechwycił informacje na temat klientów swojego pracodawcy. Niebezpiecznik pisał o śledztwie w sprawie byłego informatyka, który nielegalnie wykorzystał bazę danych osobowych, do której miał dostęp w pracy. Ten sprzedał dane co najmniej 56 tys. klientów. Policja nie ujawniła, o jaką firmę marketingową chodziło.