2 czerwca 2023

Duży wyciek danych Polaków. Jak sprawdzić czy Twoje dane są bezpieczne?

29 maja wieczorem zespół CERT Polska otrzymał informację o wycieku loginów i haseł związanych z polskimi serwisami online oraz kontami Polaków w sieci. Chodzi o bazę zawierającą ok. 6 milionów wierszy, co powoduje, że jest to jeden z największych wycieków w historii polskiego Internetu.

Duży wyciek danych Polaków - skąd pochodziły hasła?

Duża część bazy dotyczy danych logowania do popularnych serwisów, takich jak serwisy aukcyjne, popularne sklepy internetowe czy platformy oferujące darmowe konta pocztowe. W bazie znajdują się dane logowania, takie jak loginy i adresy email, powiązane z dokładnymi adresami url.

CERT Polska ustalił, że dane znajdujące się w wycieku są połączeniem wielu mniejszych zbiorów pozyskanych przez złośliwe oprogramowanie typu "information stealer". Oznacza to, że cyberprzestępcy mogli mieć dostęp zarówno do haseł wpisywanych na klawiaturze jak i dostęp do danych logowania zapisanych w przeglądarkach czy menedżerach haseł.

W przypadku tak dużych ataków liczy się każda minuta - zarówno dla ofiary, jak i przestępców. Dlatego opiszemy jak ustalić, czy Twoje hasła zostały upublicznione i co robić, żeby chronić swoje dane.

Jak sprawdzić, czy Twoje dane wyciekły?

W związku z dużą skalą wycieku, rekomendujemy sprawdzenie czy Twoje dane znalazły się w bazie wykradzionych informacji. Jak to zrobić? Należy skorzystać z wyszukiwarki, udostępnej na stronie bezpiecznedane.gov.pl. Jak czytamy na stronie Ministerstwa Cyfryzacji, serwis ten powstał jako odpowiedź na ten wyciek i stanowi pilotaż, który będzie rozwijany.

„Kluczowy był czas reakcji, dlatego we współpracy z COI przygotowaliśmy wyszukiwarkę, którą oddajemy w ręce użytkowników. Na pewno będziemy rozwijać to narzędzie, bo takie sytuacje jak ta, z którą dziś się mierzymy, będą się niestety powtarzać. Warto też podkreślić, że równolegle do prac nad wyszukiwarką, zespół CERT Polska informował podmioty o wycieku. Wysłane dotychczas powiadomienia dotyczyły ponad 1 mln unikalnych maili i loginów” – mówi Sebastian Kondraszuk, kierownik zespołu CERT Polska.

Pomimo początkowych problemów z dostępnością, serwis pozwala szybko przeszukać dostępne bazy wycieków i ustalić czy nasze dane są bezpieczne. Korzystanie z niego jest na szczęście bardzo łatwe i intuicyjne.

Poniżej opiszemy krok po kroku jak możesz sprawdzić czy Twoje dane wyciekły:

Krok 1: Wejdź na stronę Bezpiecznedane.gov.pl

Krok 2: Kliknij w przycisk “Zaloguj się” albo "Sprawdź dane".

Krok 3: Zaloguj się, wybierając bezpieczny sposób logowania. Możesz skorzystać z e-dowodu lub Profilu Zaufanego.

Krok 4: Po zalogowaniu, pojawi się strona z miejscem do wpisania loginu lub adresu email, który chcesz sprawdzić. Po wpisaniu, kliknij w przycisk “Sprawdź”.

Krok 5: Sprawdź wynik. Serwis poinformuje Cię, czy login lub adres email , który podałeś w formularzu znajdują się w bazie z wykradzionymi danymi. Jeśli Twoje dane są bezpieczne zobaczysz taki oto wynik:

W przypadku, jeśli okaże się że Twoje dane wyciekły, niezwłocznie podejmij odpowiednie kroki zaradcze.

Co zrobić, jeśli Twoje dane są w wycieku?

Zobacz co krok po kroku powinieneś zrobić, jeśli Twoje loginy i hasła zostały upublicznione:

Krok 1: Użyj programu antywirusowego i uruchom pełne skanowanie urządzenia.

Krok 2: Oprogramowanie antywirusowe może nie wykryć zagrożenia. Jeśli masz podejrzenia, że twój sprzęt może być zainfekowany, zabezpiecz najważniejsze dane i przywróć ustawienia fabryczne.

Krok 3: W przypadku wykrycia zainfekowanych plików lub złośliwego oprogramowania, natychmiast je usuń (działanie rekomendowane) lub skieruj do kwarantanny.

Krok 4: Gdy Twoje urządzenie jest już zabezpieczone lub wyczyszczone, a tym samym wolne od złośliwego oprogramowania, zresetuj wszystkie loginy oraz hasła używane do logowania na stronach internetowych i wygeneruj nowe, silne hasła.

Krok 5: Wszędzie tam, gdzie to możliwe włącz uwierzytelnienie dwuskładnikowe (dwuetapowe).

Krok 6: Upewnij się, że nie masz zapisanych danych logowania w przeglądarce.

Krok 7: Systematycznie sprawdzaj alerty przesyłane na Twój adres email, informujące o próbach logowania do konta.

Podstawowe zasady bezpiecznego logowania

Upewnij się, że strona logowania zaczyna się od https (oznacza to bezpieczne połączenie internetowe). Korzystaj z silnych i bezpiecznych haseł. Aby hasło było bezpieczne musi być odpowiednio długie i skomplikowane. Proste i krótkie hasła są łatwe do złamania lub odgadnięcia przez osoby nieupoważnione. Unikaj stosowania zbyt łatwych haseł - np. „hasło” czy „123456”.

Hasło powinno zawierać co najmniej jeden znak z każdej z następujących grup: małe litery, duże litery, liczby, znaki specjalne. Rekomendujemy używanie haseł o długości 20 znaków i więcej.

Nie zapisuj haseł na kartkach, w przeglądarce ani w zwykłych plikach na komputerze. Zamiast tego stosuj oprogramowanie typu manager haseł, np. KeePass. Nie wykorzystuj tego samego hasła w wielu witrynach (tzw. recycling hasła). To ważne, ponieważ cyberprzestępcy włamując się do jednej witryny, mogą wypróbować odzyskane hasła w innych witrynach.

Podsumowanie:

Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online. Prawdopodobnie był to jeden z największych jednorazowych wycieków danych w historii polskiego Internetu. To znaczy, że miliony osób zostały narażone na utratę swoich kont w serwisach. Jesli Twoje dane logowania znalazły się w bazie, niezwłocznie podejmij opisane wyżej kroki.

Jeśli Twoich danych nie ma w upublicznionej bazie ale masz wątpliwości, czy Twoja firma jest dobrze chroniona, skontaktuj się z nami. W PESI wykonujemy audyty bezpieczeństwa danych i zapewniamy odpowiednie rozwiązania. Nie dopuść do utraty ważnych danych.


Ania

Marketing Expert

Zobacz także

Skontaktuj się z nami już dziś!

lub

Zostaw nam swój numer,

a my oddzwonimy ;)