Wycieki danych – jak do nich dochodzi i jak się przed nimi chronić?
źródło: opracowanie własne
31 maja tego roku na stronie gov.pl pojawił się wpis zatytułowany „Sprawdź, czy Twoje dane są bezpieczne!”. Z pewnością przeczytanie takiego nagłówka na rządowej stronie wstrząsnęło niejednym internautą. Późniejsza treść zresztą też zdecydowanie nie uspokajała - „W związku z upublicznieniem loginów i haseł polskich użytkowników, jednostki odpowiedzialne w Polsce za cyberbezpieczeństwo podjęły natychmiastowe działania, które mają ograniczyć negatywne skutki tej sytuacji”. Sam wpis poświęcony był zachęceniu czytelników do sprawdzenia czy ich dane zostały ujawnione. Mogli zrobić to za pomocą specjalnie stworzonej wyszukiwarki umieszczonej na stronie bezpiecznedane.gov.pl. Ale w jaki sposób w ogóle doszło do wycieku takiej ilości danych? Czy takie sytuacje zdarzają się często? Co można zrobić, aby się przed nimi uchronić?
29 maja na polskojęzycznym forum Cebulka w sieci Tor bez jakiegokolwiek dodatkowego komentarza udostępniony został plik o nazwie „pl.txt.” zawierający ponad 6 mln wierszy, z których większość zawierała loginy i hasła polskich użytkowników oraz adresy stron których dotyczyły. Była to pierwsza publikacja z konta założonego ok. dwa miesiące wcześniej. Całą sprawę ujawnił portal zaufanatrzeciastrona.pl, zdaniem, którego „Mamy prawdopodobnie do czynienia z jednym z największych jednorazowych wycieków w historii polskiego Internetu”.
Sprawę zbadał działający w ramach Państwowego Instytutu Badawczego NASK (Naukowa i Akademicka Sieć Komputerowa) Zespół CERT Polska (CSIRT NASK). Zdaniem tej instytucji wyciek składał się z wielu mniejszych zbiorów danych pozyskanych przez złośliwe oprogramowanie typu „information stealer” z urządzeń użytkowników. „Stealer” to złośliwy BOT, najczęściej nieświadomie pobrany na urządzenie przez użytkownika, który wykrada z komputera (lub innego sprzętu) wszelkie loginy i hasła, które kiedykolwiek zostały zapisane w przeglądarce internetowej, a następnie przekazuje je do swoich twórców.
Czym jest wyciek danych?
Wyciek danych to sytuacja, kiedy informacje, które powinny być chronione trafiają poza struktury firmy, do której należą (lub która nimi zarządza) i trafiają do osób lub instytucji, które nie powinny mieć do nich dostępu. Zapewnienie tym danym ochrony leży w gestii właściciela bazy danych lub innych ważnych informacji, nie oznacza to jednak, że nie dochodzi do tego typu nieprzyjemnych incydentów. Na przykład w 2011 wyciekły dane użytkowników Sony PlayStation Network oraz Sony Online Entertainment, trzy lata później, w roku 2014 wyszukiwarki Yahoo, a w 2016 ofiarami cyberataku byli użytkownicy Ubera. Celem przestępców wykradających dane nie są jedynie ogromne korporacje - według raportu Verizon w 2020 do wycieków danych doszło w co trzeciej firmie reprezentującej sektor MŚP (Małe i Średnie Przedsiębiorstwa).
Jakie są przyczyny wycieków danych?
Najczęściej przyczynami tego typu incydentów są zaniedbania pracowników (zagubione urządzenia, zła higiena haseł, zostawianie niezablokowanych ekranów itp.), przestarzałe oprogramowanie lub słaba infrastruktura i wyprowadzenie danych z firmy na przykład przez byłych pracowników. Jednak wyciek danych może być też skutkiem zaplanowanych i dobrze przemyślanych ataków. W takim wypadku hakerzy zazwyczaj biorą na celownik konkretne firmy lub instytucje i forsują zabezpieczenia, aby przechwycić określone informacje, a następnie szantażują ofiarę, sprzedają wykradzione dane na czarnym rynku lub po prostu je upubliczniają. Najczęściej oszuści wykorzystują przy tym złośliwe oprogramowanie, socjotechnikę lub metodę zwaną SQL injection.
Jak właściciele baz danych mogą bronić się przed wyciekami danych?
Firmy posiadające bazy danych lub przechowujące inne cenne informacje powinny podjąć odpowiednie działania, aby zapobiegać tego typu atakom. Wśród dobrych praktyk, które powinny zostać wdrożone należy wymienić uświadamianie i edukowanie pracowników wszystkich szczebli, stosowanie odpowiednich systemów bezpieczeństwa i testowanie ich (w tym przeprowadzanie symulacji ataków), używanie rozwiązań zapobiegających utracie danych DLP (Data Loss Prevention) a także posiadanie i aktualizowanie planów awaryjnych na wypadek wycieku danych.
Jakie mogą być konsekwencje wycieku danych z firmy?
Konsekwencji wycieku danych dla firmy, która nimi zarządzała jest wiele. Oczywiście efektem mogą być straty finansowe wynikające zarówno z utraty lub upublicznienia danych (w tym szczególnie utrata własności intelektualnej) jak też z ewentualnych odszkodowań dla klientów lub pracowników czy też kar ustawowych za niezapewnienie odpowiedniego bezpieczeństwa. Po wycieku może dojść też do znacznych utrudnień w funkcjonowaniu firmy (konieczność przeprowadzenia dochodzenia, wprowadzenia nowych rozwiązań, szkoleń itp.). W dłuższej perspektywie natomiast szczególnie dotkliwe mogą być straty wizerunkowe, bo z pewnością każdy zastanowi się dwa razy zanim powierzy swoje dane firmie, w której już raz doszło do wycieku.
W omówionym na początku przypadku, choć dotyczy on ogromnych ilości danych, do wycieku doszło po stronie samych użytkowników, warto więc wspomnieć, że to również na nich spoczywa obowiązek zadbania o to by poufne informacje na ich temat nie dostały się w niepowołane ręce.
Cyberprzestępcy zdają sobie sprawę, że większość osób używa tych samych haseł (lub ich wariacji) dla różnych stron i usług. Mając więc dane do logowania dla jednej witryny, mogą przy ich użyciu próbować dostać się na inne strony, czy też logować się do innych aplikacji i programów. Oczywiście nie robią tego ręcznie, lecz przy użyciu specjalnie stworzonych do tego programów, często wykorzystujących techniki uczenia maszynowego. Konsekwencje mogą też być jeszcze poważniejsze, jeśli dojdzie do przejęcia kont lub urządzeń.
Jak użytkownicy mogą chronić swoje dane przed wyciekiem?
Wśród dobrych praktyk wymienianych w celu zminimalizowania ryzyka wycieku danych lub przejęcia kontroli nad urządzeniami wymienia się:
- nieklikanie podejrzanych linków lub linków nieznanego pochodzenia,
- niepobieranie programów i aplikacji z nieautoryzowanych źródeł,
- korzystanie z odpowiedniego programu antywirusowego i aktualizowanie go,
- aktualizowanie programów, przeglądarki internetowej oraz korzystanie tylko z aktualnej wersji systemu operacyjnego,
- stosowanie różnych haseł dla różnych stron, programów i aplikacji,
- używanie trudnych haseł lub programów do zarządzania hasłami (np. KeePass),
- korzystanie z weryfikacji dwu lub trzyetapowej wszędzie, gdzie istnieje taka możliwość oraz
- regularne zmienianie haseł.
Ale co zrobić, jeśli do wycieku danych z Twojego urządzenia już doszło?
W pierwszej kolejności użyj innego, bezpiecznego urządzenia, aby zmienić hasła na wszystkich stronach i programach, w których ujawnione hasło było używane. Następnie użyj programu antywirusowego, aby usunąć zagrożenie na zainfekowanym sprzęcie. Obserwuj też jeszcze przez jakiś czas swoją skrzynkę odbiorczą i powiadomienia od programów i aplikacji, których używasz zwracając szczególną uwagę na próby logowania, spam i inne śmieciowe wiadomości oraz przychodzące e-maile ze zwrotkami (jeśli będziesz otrzymywać duże ilości powiadomień o nie dostarczeniu Twojej wiadomości, możliwe, że ktoś masowo rozsyła wiadomości z Twojego adresu e-mail).