W odpowiedzi na wczorajszy duży wyciek loginów i haseł Polaków, Ministerstwo Cyfryzacji przygotowało narzędzie, przy pomocy którego można sprawdzić bezpieczeństwo swoich danych. Od momentu swego startu rządowa witryna przez kilka godzin po prostu nie funkcjonowała, ale niedawno wreszcie ruszyła. Podajemy też inne uniwersalne narzędzie umożliwiające sprawdzenie czy nasze dane znalazły się w ujawnionej bazie.
29 maja 2023 roku wieczorem na polskojęzycznym forum w sieci Tor pojawiła się baza danych zawierająca ponad 6 milionów wierszy zawierających dane na temat kont polskich użytkowników sieci – loginów, haseł oraz adresów internetowych, z których pochodzą. Poinformował o tym portal Zaufana Trzecia Strona. Serwis sprawdził też, które z witryny pojawiają się w tej bazie najczęściej. Okazało się, że są to:
- poczta.onet.pl: 28 747
- poczta.wp.pl: 12 056
- online.mbank.pl: 10 140
- ingbank.pl 1227
- gov.pl: 44 385
- morele.net: 2672
- x-kom.pl: 10 761
- allegro.pl: 88 282
- facebook.com: 119 334
Według specjalistów, za wyciek danych odpowiada złośliwe oprogramowanie, które po zainfekowaniu komputera pobiera z niego wszystkie loginy i hasła zapamiętane kiedykolwiek przez przeglądarkę i przesyła swoim twórcom. “Niestety trudno oszacować wiek ujawnionych informacji. W bazie nie brakuje haseł zawierających w treści ciąg „2023”, zatem można domniemywać, że przynajmniej część ujawnionych danych jest bardzo aktualna” – czytamy na stronie serwisu Zaufana Trzecia Strona.
„Implikacje tego wycieku będą szerokie. Wykradzione dane stawiają przestępców, którzy wejdą w ich posiadanie u wrót sezamu i muszą oni wykonać ledwie jeden krok, aby do niego wejść. Tym krokiem będą np. działania typu scam czy phising, służące dalszemu wyłudzeniu danych i kradzieży pieniędzy. Jednak problem w rzeczywistości dotyczy nie tylko indywidualnych osób, których dane skradziono, co naraża je na próby wyrafinowanych oszustw. Skala incydentu może zachwiać zaufaniem np. do sklepów internetowych, które przecież są dość istotnym elementem polskiej gospodarki. Analizując problem i wynikające z niego konsekwencje musimy o tym pamiętać” – skomentował Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Reagując na wspomniany wyciek Ministerstwo Cyfryzacji przygotowało narzędzie, przy pomocy którego można sprawdzić bezpieczeństwo swoich danych – poinformował o tym w środę Janusz Cieszyński na Twitterze. Po kilkugodzinnym braku aktywności rządowa strona bezpiecznedane.gov.pl wreszcie zaczęła działać. Poza nią swoje dane można sprawdzić również pod tym adresem.
Jak się zabezpieczyć?
Z kolei Paweł Jurek, ekspert cybersecurity w DAGMA Bezpieczeństwo IT, przygotował 4 najważniejsze zalecenia, które pozwolą zabezpieczyć się przed skutkami działań internetowych przestępców.
1. Stosuj różne, skomplikowane hasła
Czytając o wyciekach loginów i haseł w tak ogromnej skali zadajmy sobie pytania najprostsze, bo to najprostsze, masowe nawyki powodują, że cyberprzestępcy nadal mogą na nas „zarabiać”. Czy zdarza Ci się sytuacja, w której dla łatwości zapamiętania, używasz tego samego hasła w różnych serwisach? Natychmiast przestań to robić – zmień hasła na indywidualne, albo przynajmniej przeanalizuj, czy hasło używane w wielu mało ważnych sklepach internetowych czy rzadko odwiedzanych forach nie jest takie samo, jak Twoje hasło do miejsc najważniejszych – Twojego konta e-mail, Twojego banku czy Twoich kont w serwisach społecznościowych. Wyciek danych z jakiegokolwiek małego sklepu ujawni cyberprzestępcom hasło, które być może stosujesz do zabezpieczenia Twojego najważniejszego dostępu. A więc to podstawa.
2. Używaj menadżerów haseł, zapamiętają za Ciebie
Jeśli masz powyższy fundament za sobą, zrób krok kolejny. Zacznij korzystać z menedżerów haseł – a więc rozwiązań, które za Ciebie zaproponują setki różnych haseł do poszczególnych serwisów, będą je pamiętać i podpowiedzą w odpowiednim momencie. Najprostszy w zastosowaniu to menedżer haseł Google – bardzo wygodny w używaniu na komputerach PC i telefonach w połączeniu z przeglądarką Chrome. Tak, część ekspertów krytykuje menedżera haseł Google, bardziej zaawansowani mogą faktycznie pomyśleć o czymś więcej. Jednak menedżer haseł Google może zapewnić nam całkiem niezły poziom bezpieczeństwa i wygodę użytkowania na Windows i Android, jeśli zadbamy o pozostałe poziomy dostępu z nim związane. Chodzi o należytą ochronę samego logowania do konta Google – koniecznie stosując podwójne uwierzytelnianie i ucząc się tego, co zrobić na wypadek problemów z dostępem do tego konta. Polecam przestudiować sekcję pomocy Google.
3. Korzystaj z uwierzytelniania wieloskładnikowego
Włącz opcję uwierzytelniania dwuskładnikowego tam gdzie to możliwe. Rozwiązanie poza wpisaniem hasła do konta, wymaga również potwierdzenia logowania np. poprzez podanie kodu, który otrzymasz SMS-em lub mailem.
4. Zabezpieczaj najlepiej jak się da
Kolejny poziom bezpieczeństwa to zadbanie o to, aby nikt postronny nie miał szansy dostać się do naszych urządzeń – warto stosować odblokowywanie naszego telefonu przez odcisk palca, szyfrować powierzchnię dysku komputera i nie pozwalać osobom postronnym na dostęp do naszego urządzenia.
