Wyciek i publikacja danych logowania. Co robić?

Coraz częściej słyszymy o wyciekach danych osobowych. W wyniku jednego z ostatnich wycieków danych opublikowano ponad milion unikalnych rekordów zawierających loginy i hasła do różnych stron. W odpowiedzi na tę sytuację CERT Polska i inne instytucje odpowiedzialne za cyberbezpieczeństwo w Polsce podjęły odpowiednie kroki w celu zminimalizowania skutków tego incydentu.

  • Anna Petynia-Kawa
  • /
  • 31 lipca 2023

Jak uzyskano dostęp do danych osobowych? 

Podczas analizy zestawu danych, zespół CERT Polska stwierdził, że wyciekłe dane pochodzą z połączenia wielu mniejszych zbiorów pozyskanych przez szkodliwe oprogramowanie typu "information stealer".

Czy numer telefonu stanowi dane osobowe?Czy numer telefonu stanowi dane osobowe?Anna Petynia-Kawa

W rezultacie, przestępcy mogli uzyskać dostęp do haseł wpisywanych na klawiaturze oraz danych logowania przechowywanych w przeglądarkach i menedżerach haseł.

Co zrobił w tej sytuacji zespół CERT Polska? 

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Oprócz analizy danych ujawnionych w wycieku, nasz zespół podjął również działania mające na celu powiadomienie jak największej liczby odbiorców. Udostępniliśmy informacje na temat upublicznionych kont użytkownikom systemu n6, a także poinformowaliśmy mailowo wiele instytucji, szczególnie administratorów rozpoznawalnych skrzynek pocztowych. Do chwili pisania tego artykułu przekazaliśmy powiadomienia dotyczące ponad miliona unikalnych adresów e-mail i loginów. Ponadto, udostępniliśmy upublicznione dane portalom HIBP oraz Bezpieczne Dane, umożliwiając każdemu weryfikację, czy ich konto lub e-mail figuruje w wycieku.

Jak można sprawdzić, czy nasze dane wyciekły? 

W związku z rozległym wyciekiem danych, każdej zainteresowanej wyciekiem osobie zalecamy sprawdzenie, czy Wasze dane znalazły się w ujawnionym zbiorze. Nasz zespół przekazał informacje do dwóch serwisów internetowych, które umożliwiają taką weryfikację.

Dane osobowe beneficjentów ZFŚSDane osobowe beneficjentów ZFŚSAlicja Skibińska

Możecie to zrobić na stronach:

  • https://bezpiecznedane.gov.pl — to serwis stworzony przez COI, który po zalogowaniu przez Profil Zaufany pozwala sprawdzić, czy Wasze konto lub e-mail zostały uwzględnione w wycieku. Obecnie w tym serwisie dostępne są dane tylko z wspomnianego wcześniej incydentu.
  • https://haveibeenpwned.com — to popularny serwis stworzony przez Troya Hunta, który od dłuższego czasu pozwala sprawdzić, czy Wasze konto padło ofiarą większych wycieków. Co więcej, ta strona pozwala na weryfikację informacji dotyczących całej domeny, co może być przydatne dla wielu firm, które chcą ocenić rozmiar wycieku w swojej organizacji.

Moje dane wyciekły. Co robić? 

Niżej zamieszczamy sugerowane działania, jeśli Wasze dane znalazły się w wycieku:

  • Skorzystajcie z programu antywirusowego, aby sprawdzić bezpieczeństwo waszego komputera. Należy jednak mieć na uwadze, że niektóre zagrożenia mogą uniknąć wykrycia przez tego typu oprogramowanie. W razie podejrzeń o infekcję, warto zabezpieczyć najważniejsze dane i przywrócić system do ustawień fabrycznych.
  • Jeśli korzystacie z bezpiecznego lub wyczyszczonego komputera, zmieńcie swoje dotychczasowe hasła logowania.
  • Ważne! Jeśli używacie tego samego hasła logowania na różnych serwisach, koniecznie zmieńcie je również na innych stronach! Unikajcie też stosowania tego samego hasła w różnych serwisach!
  • Włączcie dodatkowe zabezpieczenie w serwisach, które oferują weryfikację dwuetapową.
  • Zwróćcie szczególną uwagę na próby logowania na swoje konta i śledźcie alertów przesyłanych na adres e-mail.

Instrukcje dotyczące włączania wieloskładnikowego uwierzytelniania w popularnych serwisach znajdziecie na https://cert.pl/2etapy/.

Przewodnik na temat mechanizmów logowania i tworzenia mocnych haseł dostępny jest na https://cert.pl/posts/2022/01/kompleksowo-o-haslach/.

Poradnik zabezpieczania kont pocztowych i mediów społecznościowych można znaleźć na https://cert.pl/uploads/docs/CERT_Polska_Bezpieczna_poczta_i_konta_spolecznosciowe.pdf.

Co jest, a co nie jest danymi osobowymi?Co jest, a co nie jest danymi osobowymi?Rafał Stępniewski

Informacje o rodzajach złośliwego oprogramowania, które służy do pozyskiwania danych w tego typu wyciekach, znajdują się na: https://cert.pl/posts/2023/02/information-stealer/.

Najnowsze informacje o zagrożeniach można znaleźć, śledząc profile zespołu CERT Polska na Facebooku lub Twitterze.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: bezpieczeństwo w sieci bezpieczeństwo w firmie antywirus bezpieczeństwo it bezpieczeństwo informacji
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!