Z badania przeprowadzonego na zlecenie Krajowego Rejestru Długów i serwisu Chroń PESEL wynika, że ponad połowa Polaków obawia się wycieku danych osobowych poza przechowującą je firmę bądź instytucję. Największe zagrożenie dla ich bezpieczeństwa widzą w… internecie. Mowa o wszelkich aplikacjach i serwisach, platformach społecznościowych czy sklepach, które pozyskują i gromadzą informacje na nasz temat – często wrażliwe.

Co więcej, dane zostawiamy w tak wielu miejscach w sieci, że jedynie część z nas (18 proc.) pamięta i jest w stanie wskazać wszystkie z nich. Pamięć ludzka, choć w wielu przypadkach jest w doskonałym stanie, to równocześnie jest ulotna. A to generuje ryzyko dla bezpieczeństwa i prywatności. Zawsze warto wiedzieć, gdzie pozostawiamy po sobie ślad i jak duży on jest.

Wyciek danych Polaków

Wystarczy, że przeczytamy o „gigantycznym”, „wielkim”, „największym” wycieku danych i od razu zaczynamy się zastanawiać, czy dotyczy on także nas. Pojawia się stres, bo co, jeśli ktoś już skorzystał z okazji i np. przejął moje konto/a?

Taki stan towarzyszył pewnie wielu osobom, gdy w internecie pojawiły się doniesienia o „jednym z największych w historii” wycieków danych Polaków. Na łamach CyberDefence24.pl informowano o ujawnieniu loginów i haseł, które służyły do logowania do różnych serwisów, w tym np. Facebooka, Allegro, gov.pl, sklepu X-kom, mBanku, poczty Onet czy WP. Baza danych została udostępniona w sieci Tor.

Zaufana Trzecia Strona podała, że chodzi o plik „.pl.txt”, który posiada 6 274 679 wierszy. „Prawie każdy wiersz z kolei zawiera adres strony WWW, z której pochodzą wykradzione dane oraz login i hasło używane w tym serwisie internetowym” – czytamy.

Moje dane wyciekły?

To wszystko brzmi bardzo poważnie, prawda? Dla zwykłych użytkowników sprawa wydaje się faktycznie „historycznego” wymiaru. Pojawia się zdenerwowanie, lęk i napięcie. Bo kto nie ma konta na jednym z popularnych serwisów… Czy panika jest uzasadniona?

Przede wszystkim należy mieć na uwadze, że wyciek dotyczy tych użytkowników, których urządzenia zostały zainfekowane złośliwym oprogramowaniem do kradzieży danych (tzw. stealer). W praktyce oznacza to tyle, że incydent obejmuje osoby logujące się na określoną platformę/witrynę/serwis/itp. (np. Allegro) za pomocą zawirusowanego sprzętu. Tu nie doszło do zhakowania administratorów, a więc pozostali użytkownicy są bezpieczni.

Poza tym nie wszystkie dane z wycieku są prawdziwe i wiąże się to z charakterystyką działania stealera. Tego typu oprogramowania zbierają informacje, które mamy zapisane w np. przeglądarce lub wpisujemy w okienka logowania. Ale czy zawsze od razu wpisujemy poprawne hasło bez żadnych błędów? Pomyłki to ludzka rzecz. Tak więc w pliku znajdują się również niepoprawne dane logowania. 

Wyciek danych. Jestem bezpieczny?

Jedno nie ulega wątpliwości – bezpieczeństwo to podstawa, dlatego należy pozostać czujnym. Warto sprawdzić, czy nasze dane wyciekły (jeśli nie w ramach opisywanego incydentu, to w innym). Jak to zrobić? Istnieje proste i darmowe narzędzie. 

Wystarczy wejść na stronę Have I Been Pwned (link: https://haveibeenpwned.com) i wpisać adres e-mail, który chcemy zbadać. I już, tylko tyle. 

Jak zmniejszyć skutki wycieku?

W przypadku np. zakładania konta na jakiejś platformie, podawajmy tylko niezbędne dane. Im mniej informacji wrzucimy do sieci, tym mniej potencjalnie wycieknie w przypadku incydentu. Możemy również stworzyć alternatywny adres e-mail przeznaczony tylko na tego typu cele. 

Podstawą jest posiadanie silnych haseł (długich, zawierających duże i małe litery, cyfry, znaki specjalne). Ostatni wyciek Polaków pokazał, że wciąż jest z tym u nas… słabo. Analizując incydent, widzimy, że wśród 10 najpopularniejszych haseł, pomimo upływu czasu, wciąż znajdują się m.in.: „123456” czy „123qwe”. Pamiętajmy, aby do każdego konta mieć unikalne hasło w myśl zasady: „jedno hasło, jedno konto”.

Błędem jest również stosowanie maili prywatnych do celów służbowych i odwrotnie. Podejście w stylu „jeden adres do wszystkiego” to proszenie się o kłopoty. Dlatego zadbajmy o bezpieczeństwo swoje i firmy, korzystając z przeznaczonych do tego skrzynek: prywatna do spraw prywatnych; służbowa – do służbowych. 

Warto także śledzić, co dzieje się w cyberbezpieczeństwie. Przydatne informacje są regularnie publikowane przez specjalistyczne instytucje i organizacje, jak np. CERT Polska, CSIRT KNF czy CSIRT MON. Na ich kanałach w mediach społecznościowych pojawiają się alerty ostrzegające przed najnowszymi incydentami, a także porady, co można zrobić, aby lepiej chronić się w sieci.