Największy wyciek danych w Polsce. Co robić, jak się logować?

Wczoraj późnym wieczorem (29. maja 2023) serwis Zaufana Trzecia Strona opublikował informację o potężnej bazie loginów i haseł, dostępnej na forum w sieci Tor. Baza zawiera ok. 6 mln wierszy z danymi kont w sieci, najczęściej należącymi – w uproszczeniu – do osób z Polski. Tym samym oznacza to, że prawdopodobnie mamy do czynienia z jednym z największych jednorazowych wycieków danych w historii polskiego internetu. Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online oraz kontami Polek i Polaków na całym świecie.

Informacja pierwotnie opublikowana na portalu zaufanatrzeciastrona.pl, pojawiła się następnie dziś rano (30 maja 2023 r.) w kolejnych serwisach internetowych o tematyce technologicznej, m.in. na portalu spidersweb.pl a także w wyborcza.pl

Skąd pochodziły dane o logowaniu?

Największa część bazy dotyczy popularnych serwisów, jak serwisy aukcyjne, portale zakupowe, darmowa poczta związana z portalami informacyjnymi. Zdarzają się też spore sklepy internetowe. Wszystko wskazuje na to, że w komputerach wielu – szacunkowo setek tysięcy – Polaków istniało zainstalowane złośliwe oprogramowanie.

Jego charakter jest niejasny – mogło ono wykradać hasła z historii przeglądarki albo przechwytywać znaki wpisywane z klawiatury, a następnie przesyłać do atakującego listę zawierającą zestaw informacji jak adres url w ramach którego następowało logowanie, login oraz hasło.

Masowy charakter oraz powiązanie z dokładnymi adresami url wskazuje na to, że była to akcja o charakterze rozproszonym, a nie włamanie do infrastruktury któregokolwiek operatora czy serwisu.

Czy moje hasło zostało wykradzione z serwisu lub sklepu internetowego?

Jeśli Twój login jest w opublikowanej bazie, to najbardziej prawdopodobny scenariusz wydaje się taki, że zostało ono przechwycone w Twoim telefonie, tablecie lub komputerze. Włamanie do infrastruktury operatora jakiejkolwiek poważnej aplikacji – a mówimy tu o największych polskich serwisach – nie umożliwiłoby wykradzenia haseł.

Hasła we współczesnych architekturach nie są przechowywane w bazach danych ani plikach, nie da się ich zatem ukraść operatorowi. Banki, sklepy i serwisy nie znają haseł, a jedynie ich cyfrowe „odciski”. Zachodzi tu relacja podobna nieco do klucza i zamka – to użytkownik zna hasło, a operator tylko umie potwierdzić, czy ono jest prawidłowe, czy nie.

Także w odniesieniu do ewentualnych usług w naszej infrastrukturze warto podkreślić, że nie doszło tu do żadnego incydentu na serwerze czy w aplikacjach. Źródłem zaistniałego problemu jest złośliwe oprogramowanie, które ma za zadanie zainfekowanie komputera lub telefonu, by następnie wykradać i przesyłać z zainfekowanych urządzeń dane uwierzytelniające.

Na liście znajdują się miliony rekordów. Nie mamy możliwości sprawdzenia, czy są tam Twoje loginy do wszelkich serwisów, z których korzystasz, ale na wszelki wypadek rekomendujemy Ci przejście poniższej procedury.

Czy opublikujecie tę listę?

Nie, ponieważ wg informacji prasowych zawiera ona hasła i loginy do milionów usług. Uważamy, że dystrybuowanie tego rodzaju listy byłoby bardziej szkodliwe niż pomocne.

Jak postępować?

Jako że tak czas, jak i szybkość reakcji mają tu ogromne znaczenie, rekomendujemy poniższą instrukcję rekomendowanego przez nas postępowania. Jeśli Twoje urządzenie nie zostało do tej pory zainfekowane, dzięki zastosowaniu się do poniższych zaleceń zwiększysz prawdopodobieństwo, że prawidłowo przechowujesz swoje wrażliwe dane i są one  bezpieczne oraz masz szansę uniknąć konsekwencji, jeśli na Twoim urządzeniu do infekcji doszło.

Instrukcja krok po kroku – dotyczy wszystkich urządzeń, z których logujesz się do serwisów internetowych:

1. Niezwłocznie przejrzyj zainstalowane oprogramowanie i aplikacje i odinstaluj te z nich, które wydają ci się podejrzane.
2. Zaktualizuj oprogramowanie antywirusowe i natychmiast uruchom pełne skanowanie urządzenia.
3. W przypadku wykrycia zainfekowanych plików lub szkodliwego oprogramowania poddaj je kwarantannie lub najlepiej, jeśli to możliwe, natychmiast usuń z urządzenia.
4. Zresetuj wszystkie loginy i hasła używane do logowania się na stronach internetowych i przygotuj nowe, pamiętając o kierowaniu się zasadami tworzenia mocnych i bezpiecznych haseł. Uwaga – ma to sens dopiero po usunięciu złośliwego oprogramowania z Twojego komputera. W przeciwnym wypadku oprogramowanie przestępców przechwyci Twoje nowe hasło.
5. Włącz uwierzytelnianie dwuskładnikowe tzw. 2FA w dostępie do Panelu Klienta. Dzięki temu posiadanie samego hasła nie wystarczy to realizacji logowania.
6. Unikaj zapisywania haseł w przeglądarce. Stosuj zamiast tego oprogramowanie typu manager haseł, np. KeePass.

Daniel B. Drożdż

W Kei.pl odpowiedzialny za marketing internetowy, w szczególności SEO/SEM, analitykę i wdrożenia rozwiązań UX i e-commerce. Marketer z wykształcenia i pasji z ponad 10-letnim doświadczeniem. Certyfikowany specjalista Google Ads. Związany z rynkiem hostingowym od 2016 r.