To nie jest wyciek z serwisu internetowego, tylko to są dane, które zostały zebrane z zainfekowanych komputerów osób, które zainstalowały złośliwą aplikacje - powiedział w programie "Wstajesz i wiesz" na antenie TVN24 Piotr Konieczny z serwisu Niebezpiecznik.pl. Według eksperta "spać spokojnie" mogą ci, którzy zadbali wcześniej o dwuetapową metodę uwierzytelniania hasła. Minister cyfryzacji przyznaje w czwartek, że doszło do ujawnienia "6 milionów rekordów".
Minister cyfryzacji Janusz Cieszyński w środę zamieścił wpis na Twitterze i poinformował o wycieku danych polskich obywateli. "Przedwczoraj w nocy w sieci pojawił się duży zbiór loginów i haseł polskich obywateli" - napisał Cieszyński. "Uruchomiliśmy proste narzędzie do sprawdzenia, czy Wasze dane znalazły się w tym wycieku. Zapraszam do korzystania z bezpiecznedane.gov.pl" - dodał minister.
Branżowy portal zaufanatrzeciastrona.pl poinformował natomiast już w poniedziałek o tym, że kilka milionów loginów i haseł z Polski wyciekło do sieci. "Mamy prawdopodobnie do czynienia z jednym z największych jednorazowych wycieków w historii polskiego internetu. Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online oraz kontami Polek i Polaków na całym świecie" - czytamy.
Nowe narzędzie do sprawdzenia bezpieczeństwa danych
Minister cyfryzacji przyznał w czwartek, że doszło do ujawnienia "6 milionów rekordów". - Były tam informacje o loginach i hasłach do różnych serwisów - mówił. Dodał, że "dane najprawdopodobniej zostały wykradzione z komputerów ofiar" więc "nie ma reguły" co do stron, z jakich pochodziły. - Zostały później skompilowane w jeden zbiór, który został opublikowany w internecie - powiedział.
Jak napisał minister na Twitterze: "Serwis został stworzony przez Centralny Ośrodek Informatyki od zera w niecałe 24 godziny. Wymagało to między innymi wykorzystania gotowych części już funkcjonujących usług. Wszystko wydarzyło się zgodnie z procedurami. Informacja o starcie wygenerowała spore obciążenie i niedostępność systemu w czasie, kiedy wgrywaliśmy poprawki". Cieszyński dodał: "System działa już stabilnie. W międzyczasie otrzymaliśmy informację o kolejnym wycieku - baza zostanie niedługo uzupełniona o te dane. Zapraszam raz jeszcze na https://bezpiecznedane.gov.pl".
Jak sprawdzić, czy jesteśmy ofiarą wycieku?
Piotr Konieczny pytany o to, czy wiemy dokładnie, które dane wyciekły odpowiedział: "tak, bo lista danych, które zostały ujawnione, jest dostępna". - Tam znajdują się adresy serwisów internetowych, loginy w postaci maila oraz hasła - powiedział.
- Istotne jest to, że ta lista to nie jest wyciek z serwisu internetowego takiego czy innego, tylko to są dane, które zostały zebrane z zainfekowanych komputerów, komputerów osób, które zainstalowały złośliwą aplikacje. Te dane są tymi, które wprowadzano do serwisów, aby zalogować się do konta - powiedział.
- Do wielu serwisów można ustawić dodatkowy poziom uwierzytelnienia. To tak zwane dwuskładnikowe uwierzytelnienie. W takim przypadku, nawet jeżeli podzielibyśmy się loginem i hasłem, a mielibyśmy dodatkowe logowanie za pomocy kodu wysyłanego SMS-em, kodu generowanego przez aplikacje, to nawet po wycieku tego loginu i hasła ktoś, kto czyta ten zapis nie zaloguje się na konto - tłumaczył.
Dodał jednak, że "mówimy w tym przypadku o atakujących drugiego sortu, ludziach, którzy patrzą na te wykradzione przygotowane przez te dane atakującego pierwszego sortu, który ma kontrolę nad komputerem".
Zwrócił uwagę, że istnieje wiele serwisów, dzięki którym można zweryfikować, czy nasze dane zostały ujawnione w internecie. - Tam też można sprawdzić, czy na tej liście dane każdego z nas się znajdują - mówił. Odniósł się też do rozwiązania zaproponowanego przez stronę rządową, w ramach którego możemy sprawdzić, czy nie padliśmy ofiarą wycieku za pomocą serwisu bezpiecznedane.gov.pl.
- Z jednej strony jest to plus, bo można się zweryfikować. Z drugiej strony trzeba zalogować się za pomocą Profilu Zaufanego, podobno po to, aby lepiej strona rządowa kontrolowała, kto ma dostęp do tych danych. Z drugiej strony jest to pewne zagrożenie dla prywatności, o którym warto pamiętać. Z trzeciej strony mamy tutaj dobre pytanie dla prawników. Strona rządowa przetwarza dane pochodzące z kradzieży, z wycieku i pozwala Polakom się wyszukiwać, a przy okazji prezentuje pierwsze trzy znaki hasła. Bardzo chciałbym poznać opinię, która stała za otwarciem tego serwisu. Do tej pory panowało przekonanie, że prawnie nie da się tego zrobić - powiedział.
Te osoby "mogą spać spokojnie"
Ekspert zalecił również kilka środków bezpieczeństwa w sieci. Stwierdził, że "to, co pozwala spać spokojnie to jest posiadanie dwuskładnikowego uwierzytelnienia, o którym już wspomniałem". - Warto zwrócić także uwagę na to, co na naszym komputerze instalujemy. Oczywiście, jeżeli korzystamy z systemu Windows, to obowiązkiem jest także korzystanie także z programu antywirusowego. Jest szansa, że on zadziała i uchroni nas przed infekcją i w konsekwencją kradzieżą danych - powiedział.
Zwrócił uwagę, że częstym błędem popełnianym przez internautów jest korzystanie z tego samego hasła w różnych serwisach. - Jeżeli jedno takie hasło zostanie opublikowane, to ktoś może sprawdzić, czy na przykład hasło do serwisu aukcyjnego jest takie samo, jak to do na przykład skrzynki mailowej. (...) Nikt nas jednak nie zapamięta na przykład 50 różnych haseł. Dlatego jest takie narzędzie, które nazywa się menadżer haseł, a tak naprawdę grupa darmowych aplikacji mobilnych, na komputery, systemy operacyjne. Bardzo polecam, aby każdy sobie taki menadżer haseł zainstalował - zalecał.
Źródło: TVN24
Źródło zdjęcia głównego: Ivanova Ksenia / Shutterstock.com