Dane na sprzedaż. Jak się bronić przed wyciekami w Internecie?

Internet to raj dla cyberprzestępców, którzy co rusz szukają sposobów na przejęcie wrażliwych informacji np. o użytkownikach e-sklepów. W wyniku ataków często dochodzi do naruszenia prywatności klientów i wycieku danych, które następnie trafiają na fora dla hakerów i mogą zostać bezprawnie wykorzystane. W kolejnym tekście z cyklu „Bezpiecznie z Bankier.pl” podpowiadamy, jak się zachować w razie wycieków danych osobowych i jak się przed nimi bronić.

fot. Max Acronym / / Shutterstock

Wycieki, czyli udostępnienie danych użytkowników serwisów internetowych, to jedno z najgorszych naruszeń bezpieczeństwa w sieci. Nie chodzi tu o sam login czy hasło do konta, ale także o bardziej wrażliwe informacje:

• Imię i nazwisko,
• PESEL,
• Adres,
• Numer telefonu,
• E-mail,
• Inne np. historia zakupów, dane medyczne itd.

Przestępcy mogą wykorzystać takie dane w dowolnym celu, zaczynając od ataków phishingowych przez e-maile czy SMS-y, a kończąc na zaciągnięciu pożyczki na PESEL. Jeśli pojawiło się nawet niewielkie ryzyko, że wrażliwe informacje gromadzone przez serwis online zostały narażone, np. na skutek włamania czy luki w zabezpieczeniach, użytkownicy muszą wiedzieć o takich sytuacjach, aby odpowiednio szybko zadziałać. Przeciętny Polak nie zapobiegnie wyciekom danych, może jednak zminimalizować ich skutki. Warto wiedzieć, gdzie zgłaszać takie incydenty i jak działać w razie ataku na e-sklep, z którego korzystaliśmy.

Incydenty cyberbezpieczeństwa liczone w tysiącach

W Polsce reagowaniem na incydenty i zagrożenia cyberbezpieczeństwa zajmuje się zespół CERT Polska, który działa przy instytucie badawczym NASK. Tylko w 2024 r. odnotowano ponad 600 tysięcy różnych zgłoszeń i incydentów (głównie oszustw komputerowych), z czego 103 tysiące miało niekorzystny wpływ na system cyberbezpieczeństwa.  Grupa aktywnie monitoruje także wycieki danych z krajowych firm i instytucji, nie tylko śledząc strony wykorzystywane przez przestępców, ale i ostrzegając podmioty dotknięte atakami. Choć o samych wyciekach nie słyszy się często, to CERT w swoim raporcie rocznym informuje m.in. o przypadkach stron megamodels.pl i sklepbaterie.pl, gdzie wśród udostępnionych przez hakerów informacji znalazły się m.in. imiona i nazwiska, e-maile, numery telefonów i adresy użytkowników.

ALAB, Superpharm, Morele – przestępcy nie dają taryfy ulgowej

Z inicjatywy Ministerstwa Cyfryzacji i NASK powstała strona bezpiecznedane.gov.pl, na której eksperci CERT zamieszczają istotne i sprawdzone przypadki wycieków, a internauci z kolei mogą sprawdzić, czy ich dane trafiły w niepowołane ręce. W ubiegłym roku doszło do ataku hakerskiego na internetową drogerię Superpharm, w wyniku którego uzyskano dostęp m.in. do imion i nazwisk, e-maili oraz hashy do haseł. Choć spółka podjęła kroki w celu usunięcia luki będącej przyczyną ataku, to jej klienci zostali ostrzeżeni o konsekwencjach wycieku, np. phishingu czy prób złamania haseł w innych serwisach (jeśli użytkownik używał w nich tych samych danych).

Niestety, cyberprzestępcy nie mają skrupułów, co pokazuje wyciek danych w firmie ALAB prowadzącej laboratoria medyczne. Spółka padła ofiarą ataku ransomware (próba wymuszenia okupu), w wyniku którego do przestępców trafiły nie tylko podstawowe dane, takie jak imię i nazwisko, PESEL czy adres, ale także informacje o wykonywanych badaniach i ich wynikach. ALAB zgłosił sprawę do Urzędu Ochrony Danych Osobowych i CERT, złożył także zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości. Klientów powiadomiono o ryzyku wykorzystania ich danych do ataków phishingowych i proszono o zastrzeżenie numeru PESEL.

Najgłośniejszym jednak wyciekiem w polskich e-sklepach był atak na Morele.net, w efekcie którego uzyskano dostęp do kont ponad 2 miliony klientów. Choć o sprawie poinformowano Urząd Ochrony Danych Osobowych, a serwis wdrożył środki bezpieczeństwa, dane użytkowników ostatecznie przez krótki czas były dostępne w sieci. Postępowanie UODO wykazało, że firma nie stosowała odpowiednich zabezpieczeń, co skończyło się naliczeniem wysokiej kary dla spółki.

Dane trafiły do sieci – jak żyć?

Jeśli sklep, z którego usług korzystaliśmy, padł ofiarą ataku i istnieje ryzyko, że nasze dane trafiły w ręce przestępców, najlepiej zachować spokój i uważnie zapoznać się z informacjami od usługodawcy oraz specjalistów od bezpieczeństwa. Pierwszym krokiem powinna być zmiana hasła w serwisie oraz w każdym, gdzie wykorzystywaliśmy te same dane logowania. Choć hasła są zaszyfrowane, hakerzy mogą próbować je złamać i włamać się także na inne strony. Specjaliści od cyberbezpieczeństwa doradzają także włączenie weryfikacji dwuetapowej, jeśli jest dostępna, oraz czujność wobec maili, SMS-ów i telefonów. Nasze dane mogą zostać wykorzystane do ataków phishingowych, przesyłania podejrzanych linków, niechcianych połączeń telefonicznych itd., zatem jeśli po wycieku zaczniemy otrzymywać wiadomości np. o problemie z płatnościami czy dostawą, warto podejść do nich z ostrożnością i ignorować takie komunikaty.

Jeśli do tej pory nie zastrzegliśmy numeru PESEL, a nie planujemy zaciągać pożyczki czy otwierać konta albo lokaty, dobrze jest skorzystać z takiej możliwości, co utrudni zaciągnięcie kredytu na nasze dane.

Alerty to podstawa

Dobrą praktyką w zakresie bezpieczeństwa danych jest ustawienie powiadomień o zdarzeniach na rachunkach bankowych. Banki umożliwiają zarówno bezpłatne alerty w aplikacjach mobilnych, jak i powiadomienia SMS/e-mail, które, choć często są dodatkowo płatne, to pozwalają śledzić wykonywane transakcje i reagować na podejrzane operacje.

Jeśli chodzi o ryzyko zaciągnięcia kredytu na nasze dane, można rozważyć skorzystanie z raportów i alertów BIK, które informują o każdym przypadku złożenia wniosku o pożyczkę. Od kwietnia br usługą objęte jest także monitorowanie darknetu, czyli części Internetu, w której działają cyberprzestępcy. Aktywując alerty, system sprawdza, czy nasz PESEL, e-mail i dowód osobisty zostały wykradzione i wysyła powiadomienie za każdym razem, kiedy dojdzie do takiej sytuacji.

fot. Aldona Derdziak / Bankier.pl

Weź sprawy we własne ręce

Cyberataki zdarzają się z różnych przyczyn, na które nie mamy wpływu, możemy jednak zadbać o bezpieczeństwo naszych danych i zminimalizowanie szkód potencjalnych wycieków. Warto pamiętać o kilku zasadach:

• Zastrzeż swój PESEL,
• Ustaw logowanie dwuskładnikowe do banku i serwisów internetowych,
• Nie klikaj w podejrzane linki w e-mailach i SMS-ach,
• Nie podawaj wrażliwych danych, np. logowania do konta bankowego, przez telefon,
• Twórz silne i unikalne hasła oraz stosuj menedżery haseł,
• Dbaj o aktualizacje oprogramowania, szczególnie antywirusowego,
• Monitoruj swoje dane (skrzynki mailowe, konta bankowe i inne serwisy, z których korzystasz).

Pakiet BIK zamówisz na tej stronie »

Bankier.pl

Publikacja zawiera linki afiliacyjne.

Źródło: