Jestem ofiarą wycieku danych – co mogę z tym zrobić i na co muszę uważać?

Spore zamieszanie wywołały opublikowane ostatnio dane (a dokładniej tabeli z bazy danych) użytkowników sklepu Morele.net. Wyciek miał miejsce w październiku 2018 roku i skutkował próbą szantażu przez atakującego, a ostatecznie publikacji danych ponad 2,4 miliona użytkowników. Opublikowana tabela zawierała następujące dane:

  • Imię i nazwisko,
  • E-mail
  • Hasło (w wersji zahaszowanej)
  • Numer telefonu
  • Informacje serwisowe (data założenia konta, data ostatniej modyfikacji, status aktywności konta itd.)

Atakujący podzielił się na Wykopie informacją, że pozyskał całą bazę danych. W związku z tym można założyć, że powyższe dane, które dostały się w nieuprawnione ręce w szerszym gronie to chyba „najlżejsza” kategoria pozyskanych informacji… Ale obym się mylił, a „xArm” blefował.

Dlatego na praktycznym przykładzie związanym z wyciekiem danych sklepu Morele.net – postaram się przybliżyć podstawowe kroki, które pozwolą odpowiedzieć na pierwsze pytania ofiary.

Jak sprawdzić czy jestem ofiarą wycieku danych?

Jeśli chcesz wiedzieć czy jesteś ofiarą tego wycieku (lub innego o którym publicznie wiadomo) – możesz skorzystać ze specjalnej wyszukiwarki “have i been pwned?” – gdzie wystarczy podać adres e-mail.

Jak mogą wyglądać ataki na ofiary wycieku?

Ciężko tak naprawdę zidentyfikować wszystkie możliwe wektory ataku przestępców. Każdy z nich jest na swój sposób inny co prowadzi do przyjęcia założenia „to zależy” 😉

Niemniej jednak pierwsze możliwe scenariusze jakie przyszły mi do głowy postarałem się zebrać w punktach poniżej z założeniem, że ta lista nie jest wyczerpująca.

  • Wysyłanie fałszywych wiadomości e-mail imitujących sklep Morele.net (lub związane z produktami oferowanymi przez ten sklep), które zachęcają m.in. do:
    • podania danych dostępowych,
    • przejścia pod złośliwy adres URL (np. celem pobrania złośliwego oprogramowania)
  • Podobne ataki mogą być realizowane poprzez dystrybucję fałszywych wiadomości SMS (tzw. smishing) – tutaj podszywanie niekoniecznie musi być związane z samym sklepem, ale także z dostawcami (usługi kurierskie/paczkomatu, Poczta Polska itp.) podstawiając złośliwy link imitujący np. monitoring przesyłki. Podobne ataki miały już miejsce w zeszłym roku, a ich celem było przechwycenie danych do konta bankowego.
  • Mogą to być także kampania spamerska dotycząca usług wsparcia w domaganiu się swoich praw (w końcu RODO! :)) w związku z wyciekiem (np. próby uzyskania odszkodowania)
  • Ponoć w bazie danych znajdowały się także skany dowodów osobistych – atakujący mogą próbować wykorzystać je do oszustw finansowych (np. zawierania pożyczek)

Warto mieć także na uwadze że prędzej czy później hasła zostaną prawdopodobnie złamane (co w pewnym procencie zostało już dokonane) i zapewne zostaną opublikowane w Internecie. Ma to znaczenie w sytuacji gdy przestępcy przy realizowaniu ataków posługują się wyciekami i przypisanymi hasłami do konkretnego adresu e-mail. Wykorzystując je przy próbie włamania do kont pocztowych lub innych usług internetowych.

Jestem ofiarą wycieku – co mogę teraz zrobić?

Niestety nie da się w pełni zapobiec skutkom wycieku. Jednak na przykładzie bazy Morele.net, moim zdaniem możliwe jest realne zminimalizowanie potencjalnych prób ataków poprzez przeprowadzenie kilku czynności.

1. Jeśli skompromitowane w wycieku hasło było używane w innych miejscach – zmień wszystkie na silne i unikatowe (nie powielaj tego samego hasła w wielu miejscach)

2. Wyłącz usługi/połączenia/SMS Premium dla Twojego numeru telefonu u operatora

3. Zachowaj dużo większą czujność przy otrzymywaniu nowych wiadomości e-mail/SMS

4. Jeśli wysyłałeś swój dowód osobisty (i nie zastosowałeś znaku wodnego na skanie dowodu tożsamości) – zastrzeż możliwość brania pożyczek na Twoje dane. Nie jest to łatwe, ale ten artykuł Niebezpiecznika może Ci się przydać!

4. Zmień nawyki związane z bezpieczeństwem danych (jeśli jeszcze nie stosujesz opisanych poniżej)

– używaj silnych, unikatowych haseł w serwisach przy jednoczesnym korzystaniu z menadżera haseł
– korzystaj z osobnych, dedykowanych adresów e-mail do usług on-line (odseparowanych od siebie np. poprzez aliasy)

– korzystaj z funkcji podwójnego uwierzytelnienia na używanych kontach (nie tylko pocztowych) – wówczas nawet jeśli (jeszcze) używasz tego samego hasła do poczty i sklepu internetowego (sic!) to atakujący nie włamie się na Twoje konto nie posiadając np. Twojego telefonu albo tokenu U2F (prędzej będzie próbował wyłudzić taki kod od Ciebie – w przypadku gdy nie korzystasz z tokenu U2F)

Niestety wycieki danych to norma

Jeśli postanowiłeś wejść na wymienioną wcześniej wyszukiwarkę “Have i been pwned?” – Twoją uwagę na pewno zwróciła lista wycieków, które zostały tam zagregowane. Jest to jeden z przykładów potwierdzających, że obecnie wycieki danych to niestety powszechność.

W związku z tym tych kilka zaprezentowanych w artykule wskazówek ma charakter uniwersalny. Można je odnieść do każdego innego wycieku rozszerzając lub upraszczając zakres możliwych do zastosowania działań.

One thought on “Jestem ofiarą wycieku danych – co mogę z tym zrobić i na co muszę uważać?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *