Codziennie setki loginów i haseł trafia na czarny rynek. Dane wyciekają z polskich firm, ale bezpieczne nie są nawet urzędy

Co chwilę dochodzi do wycieku wrażliwych danych. Miliony adresów mailowych, haseł, a nawet numerów telefonów codziennie trafiają na czarny rynek, gdzie zostają sprzedane za kilkadziesiąt dolarów. Chociaż twórcy przeglądarek internetowych robią wszystko, by odpowiednio zabezpieczyć nasze dane logowania, nie zastąpią zdrowego rozsądku. Eksperci podkreślają, by nie korzystać z tych samych, prostych haseł do wielu różnych witryn, bo od wycieku danych do zaciągnięcia kredytu na kilkaset tysięcy złotych droga jest krótka. A dane mogą wyciec nie tylko z prywatnej firmy, lecz także z urzędu.

– Dane z polskich firm wyciekają. Operatorzy mają taki problem, że bardzo łatwo się u nich zatrudnić, bo w ogóle jest teraz rynek pracownika i pracownicy są potrzebni. Osoba, która pracuje w biurze obsługi klienta, w małej galerii handlowej, w niewielkim miasteczku, nie zarabia kroci, a ma dostęp do systemów informatycznych, z których może wyciągnąć dane, które niestety w tzw. darknecie, czyli tych podziemnych forach internetowych, są zdecydowanie bardziej cenne – mówi agencji informacyjnej Newseria Innowacje Piotr Konieczny, szef Zespołu Bezpieczeństwa Niebezpiecznik.pl.

W ostatnich miesiącach cyberprzestępcy wystawili na sprzedaż bazę zawierającą 773 mln adresów e-mail oraz 21 mln haseł z przeszło 2 000 serwisów, w tym z polskich serwisów internetowych. Za dostęp do bazy Collection #1 żądano zaledwie 45 dol., co oznacza, że bezcenne z punktu widzenia użytkowników informacje mogły wpaść w ręce tysięcy cyberprzestępców.

– Codziennie pojawiają się ogłoszenia: pracuję u tego operatora, mam dostęp do bazy, kto mi zapłaci i ile, to mogę coś sprawdzić albo mogę wręcz wyeksportować pewne dane i je przekazać. To jest coś, z czym będziemy musieli sobie jako społeczeństwo coraz bardziej zinternetyzowane poradzić, dbając o to, żeby tych danych podawać jak najmniej. Żeby mieć z tyłu głowy, że zawsze to, co komuś przekazujemy, może z systemów informatycznych wylecieć – mówi Piotr Konieczny.

Aby uchronić się przed takimi wyciekami, producenci przeglądarek wdrażają systemy bezpieczeństwa, które sprawdzają, czy nasze loginy i hasła nie zostały złamane. Firefox Monitor to nowa usługa uruchomiona przez Fundację Mozilla. Jej celem będzie monitorowanie sieci w poszukiwaniu wycieków e-maili, haseł i innych newralgicznych informacji, którymi raczej nikt nie chce dobrowolnie dzielić się ze światem.

Monitor porównuje hasła z bazą serwisu Have I Been Pwned, którego twórca gromadzi od 2013 r. dane logowania, które wyciekły od usługodawców i trafiły w ręce cyberprzestępców. Wpisując naszego e-maila do Firefox Monitor, możemy się dowiedzieć, czy nie trafił on w niepowołane ręce. HIBP pozwala także sprawdzić, czy w bazie nie znajduje się nasze hasło, a logując się do usługi Firefox Monitor będziemy informowani o wszystkich wyciekach danych, których staniemy się ofiarami.

Podobne rozwiązanie wdrożyli programiści Google do przeglądarki Chrome, jednak ich wtyczka Password Checkup korzysta z szyfrowanej i anonimowej bazy Google.

– Jeśli wszędzie używamy hasła ABC123, to nie powinniśmy się dziwić, że jeśli dane wyciekną z jednego z naszych systemów, to przestępcy od razu zweryfikują, czy na nasz adres e-mail są zarejestrowane konta w bardzo popularnych serwisach, takich jak np. Allegro, Uber, czy Netflix i czy przypadkiem tam też nie mamy hasła ABC123. A jeśli mamy, no to oczywiście nasze konto trafi na sprzedaż, ktoś nam zwiększy abonament, ktoś podepnie jeszcze członków rodziny. I tak naprawdę na tym się zarabia. Na wyłudzeniach albo wystawianiu lewych przedmiotów na sprzedaż i przekierowaniu pieniędzy w zupełnie inne miejsce – tłumaczy Piotr Konieczny.

Nasza dane mogą być narażone na niebezpieczeństwo nie tylko przez prywatne firmy. Badania przeprowadzone przez funkcjonariuszy Najwyższej Izby Kontroli dowodzą, że polskie urzędy masowo przetwarzające nasze dane osobowe, nie są w stanie zagwarantować, że nie dostaną się one w ręce osób niepowołanych. Niemal 70 proc. skontrolowanych urzędów ma problem z wdrożeniem systemów bezpiecznego przetwarzania danych, a 75 proc. nie ma aktualnych informacji o przetwarzanych zasobach informatycznych.

W przeszło połowie jednostek nie przestrzega się także zasad prawidłowego zabezpieczania dostępu do informacji, co najczęściej przekłada się na stosowanie haseł niespełniających podstawowych norm bezpieczeństwa. Powszechne jest także gromadzenie informacji na niezabezpieczonych nośnikach – proceder taki stosuje aż 70 proc. skontrolowanych urzędów.

– Musimy mieć świadomość, że ktoś te dane będzie miał w jakimś systemie, ktoś może ich nie skasować, ktoś może mieć gorszy dzień w pracy, ktoś może odejść od komputera. Wreszcie, to może być jakiś stażysta, który zatrudnił się wyłącznie po to, żeby takie dane sobie zebrać i na nich zarobić zdecydowanie więcej niż na stażu – mówi Piotr Konieczny.

Ustawodawcy próbują wyjść naprzeciw wyzwaniom, jakie stawia przed nimi dynamiczny rozwój internetu, i planują wdrożyć zapisy prawne, które zaostrzą kary dla finansowych cyberprzestępców. Do Rządowego Centrum Legislacji trafiła nowelizacja Kodeksu karnego, która zakłada, że złamanie zabezpieczeń internetowych, w tym m.in. nieuprawniony dostęp do serwisów bankowych, będzie utożsamiane z kradzieżą z włamaniem. Pozwoli to nakładać na cyberprzestępców wyższy wymiar kary i skazywać ich nawet na dziesięć lat pozbawienia wolności.

– Jeśli nasze dane zostaną wykradzione, to prawdopodobnie przestępca będzie chciał na nich szybko zarobić. Jeśli są to dane związane z dokumentami tożsamości, to prawdopodobnie na te osoby zostaną pobrane pożyczki, kredyty. Dzisiaj można to zrobić przez internet albo w oddziale, mimo że jesteśmy nie do końca podobni do zdjęcia, które jest na dokumencie. Czasem nawet nie potrzebujemy oficjalnego dokumentu, którego skan mamy, bo możemy wyrobić tzw. dowody kolekcjonerskie. Fałszerzowi podajemy dane z prawdziwego dowodu, który wykradliśmy i zdjęcie naszego słupa, który pójdzie do firmy pożyczkowej – tłumaczy ekspert.

Według analityków z firmy Data Bridge Market Research wartość globalnego rynku cyberbezpieczeństwa w 2017 roku wyniosła 135 mld dol. Przewiduje się, że do 2025 roku wzrośnie ona do 246 mld dol. przy średniorocznym tempie wzrostu na poziomie przeszło 16 proc.