Wycieki danych. Konsekwencje.

Jednocześnie, w związku z ich realną wartością, dane są również celem dla cyberprzestępców, którzy chcą pozyskać je dla własnych korzyści. Mogą oni np. przeprowadzać atak, który ma na celu uzyskanie nieautoryzowanego dostępu i ujawnienie wrażliwych lub chronionych danych. Cyberprzestępcy poszukują więc słabo zabezpieczonych baz danych dostępnych w Internecie, aby następnie je pobrać i sprzedać. Innym przypadkiem jest wyciek danych, czyli celowe lub przypadkowe ujawnienie wrażliwych danych z powodu np. błędnej konfiguracji, podatności lub błędów ludzkich – również tych umyślnych. Wycieki mogą obejmować takie dane wrażliwe jak loginy, hasła, adresy e-mail, daty urodzenia, numery dowodu osobistego, PESEL, adresy zamieszkania, informacje medyczne czy finansowe.

Jedną z możliwych konsekwencji ujawnienia wrażliwych informacji jest kradzież tożsamości. W szczególności dotyczy to wycieku danych osobowych, które stają się przedmiotem handlu w Darknecie, a nabywca bazy danych może ją wykorzystać do przeprowadzania kolejnych oszustw. Najpopularniejszym jest zaciągnięcie zobowiązań finansowych na osobę, której dane zostały wykradzione.

Inne konsekwencje może mieć wyciek danych uwierzytelniających do serwisów, np. loginów i haseł. W szczególności baza danych zawierająca adresy e-mail może być wykorzystywana przez cyberprzestępców do rozsyłania phishingowych wiadomości. Hasła są standardowo przechowywane w niejawnej formie – w formie wyliczonej funkcją skrótu (tzw. hash), jednakże istnieją metody ich odtwarzania. Są one szczególnie skuteczne dla krótkich i prostych haseł, dlatego należy tworzyć długie hasła o odpowiednim poziomie skomplikowania. Częstym błędem jest używanie jednego hasła w wielu serwisach. Niektóre serwisy są gorzej zabezpieczone od innych. Jeśli cyberprzestępca wykradnie bazę danych, w której znajdują się m.in. informacje służące do logowania do np. forum internetowego czy małego sklepu internetowego, a następnie odzyska hasło, to będzie mógł sprawdzić, czy dany adres e-mail oraz hasło zostały użyte również w innych serwisach. W ten sposób może uzyskać dostęp i przejąć konto w mediach społecznościowych czy pocztę elektroniczną. Jeśli uda mu się uzyskać dostęp do poczty, to będzie próbował resetować hasła do innych serwisów.

Kwestia bezpieczeństwa danych i niedopuszczenia do wycieku leży po stronie administratorów systemów, w których te dane są przetwarzane. Jednakże to użytkownik odczuje negatywne konsekwencje ewentualnej kradzieży danych przez cyberprzestępców. W związku z tym należy samemu zadbać o minimalizację skutków ewentualnego wycieku. W pierwszej kolejności powinno się pamiętać o używaniu silnych haseł, które będą unikalne dla każdego serwisu. W związku z tym zaleca się używanie menedżera haseł. Jest wiele zarówno płatnych, jak i bezpłatnych rozwiązań, które w prosty sposób znacznie podniosą poziom bezpieczeństwa użytkownika. Używanie menedżera haseł jest jednym ze sposobów na posiadanie unikalnego, długiego i odpowiednio skomplikowanego hasła, które nie będzie możliwe do odzyskania przez zwykłego cyberprzestępcę. W takim wypadku użytkownik musi pamiętać jedynie dwa hasła – do systemu operacyjnego oraz do menedżera haseł. Zakładając konto w nowym serwisie, warto za każdym razem zastanowić się, czy podawanie prawdziwych danych jest konieczne – w niektórych serwisach takie nie będzie. Ponadto można posiadać różne adresy e-mail i stosować je do konkretnych celów np. osobne do zakupów internetowych i do bankowości.

W przypadku wycieku danych, administrator, który je przetwarzał, ma obowiązek poinformować o tym fakcie użytkowników. Ponadto powinien przekazać informacje dotyczące zakresu wycieku. W dużej części przypadków wyciek będzie dotyczył adresów e-mail oraz haseł. Po otrzymaniu takiej informacji należy niezwłocznie zmienić hasło w tym serwisie oraz w innych, w których użytkownik korzysta za tego samego hasła. W przypadku wycieku danych osobowych należy podjąć natychmiastowe kroki w celu uniknięcia kradzieży tożsamości, czego efektem może być np. zaciągnięcie kredytu z wykorzystaniem tych danych. Warto rozważyć korzystanie z usług firm takich jak Biuro Informacji Kredytowej (BIK), które wyśle powiadomienie w przypadku próby uzyskania pożyczki na dane osobowe użytkownika. W zależności od zakresu wycieku należy również rozważyć zastrzeżenie PESEL czy wymianę dowodu osobistego.

Warto skorzystać ze strony internetowej „Have I been pwned?”, aby uzyskać informację o przeszłych wyciekach danych, w których rekordach znajduję się dany adres e-mail. Ujawnione dane nie zawsze zostaną od razu wykorzystane przez cyberprzestępców. Ważne jest, aby to jak najszybciej uniemożliwić. Użytkownikowi usług i serwisów internetowych trudno jest zmniejszyć prawdopodobieństwo wystąpienia wycieku danych, w związku z tym powinien on skoncentrować się na zmniejszeniu ewentualnych jego skutków.

 
Opracowanie: pchor. Bartosz Słupczewski, Cyfrowy Ambasador DKWOC

Źródła:

ENISA „Enisa Threat Landscape 2022.” Październik 2022.

CERT Polska „Raport roczny z działalności CERT Polska: Krajobraz bezpieczeństwa polskiego Internetu 2021.” 10 maja 2022.

Flashpoint Team „Data Breaches: What They Are, Why They Occur, and How to Prevent Them.” 5 grudnia 2022, https://flashpoint.io/blog/what-are-data-breaches-how-to-prevent/.