Według doniesień portalu Zaufana Trzecia Strona, wczorajszego wieczoru na polskojęzycznym forum Cebulka w sieci Tor opublikowano ogromną bazę danych zawierającą miliony wierszy, które zawierają dane kont polskich użytkowników. Ten wyciek danych jest prawdopodobnie jednym z największych jednorazowych wycieków w historii polskiego internetu.
Zgodnie z opublikowanymi informacjami, autor publikacji założył konto na forum zaledwie dwa miesiące wcześniej i do tej pory nie zamieszczał żadnych wpisów. Opublikowany plik o nazwie „.pl.txt” zawiera aż 6 274 679 wierszy. Większość wierszy zawiera adres strony internetowej, z której pochodzą skradzione dane, oraz login i hasło używane w danym serwisie. Choć zdarzają się też wiersze o błędnym formacie lub uszkodzone, większość wygląda poprawnie.
Plik ten prawdopodobnie stanowi fragment większej całości, z której wybrane zostały wiersze zawierające ciąg znaków „.pl”. Oznacza to, że głównie znajdują się w nim dane dotyczące serwisów prowadzonych w domenie .pl, a także dane loginów zawierające adresy e-mail w domenie .pl. Mamy więc do czynienia z mieszanką danych, które obejmują:
- Loginy i hasła z domen .pl
- Loginy i hasła użytkowników polskich serwisów pocztowych
- Dużą ilość loginów i haseł z serwisów, które zaczynają się od liter „pl”.
Mimo że tytuł wpisu sugeruje, że baza zawiera około 4,5 miliona wpisów, to w rzeczywistości zawiera ona ponad 6 milionów wpisów, z czego zdecydowana większość dotyczy kont z Polski. Przeprowadzony krótki test na bazie dał przykładowe wyniki, takie jak:
- facebook.com: 119 334
- allegro.pl: 88 282
- .gov.pl: 44 385
- poczta.onet.pl: 28 747
- poczta.wp.pl: 12 056
- x-kom.pl: 10 761
- morele.net: 2672
- online.mbank.pl: 10 140
- .ingbank.pl: 1227
To tylko niektóre wybrane domeny, które ilustrują skalę wycieku danych. Na liście znajduje się jednak tysiące innych serwisów.
Według informacji opublikowanych przez portal Zaufana Trzecia Strona, dane zostały prawdopodobnie pozyskane za pomocą złośliwego oprogramowania, takiego jak „stealer”. Jest to rodzaj szkodliwego oprogramowania, które po zainfekowaniu komputera pobiera z niego wszystkie loginy i hasła zapamiętane przez przeglądarkę, a następnie przesyła je twórcom. Dane pozyskane w ten sposób są często wykorzystywane przez przestępców, jednak rzadko publikowane są w tak dużych ilościach i za darmo.
Trudno określić dokładny wiek ujawnionych danych, ale w bazie można znaleźć hasła zawierające ciąg „2023”, co sugeruje, że część ujawnionych danych może być bardzo aktualna.
Warto zaznaczyć, że ze względu na pochodzenie danych, trudno jest określić dokładną liczbę osób dotkniętych tym incydentem. Zazwyczaj z jednego komputera wycieka między kilkanaście a kilkadziesiąt rekordów, a baza danych zawiera wiele kont z różnych serwisów. Ze względu na brak jednolitego formatowania danych, niemożliwe jest oszacowanie nawet przybliżonej liczby dotkniętych osób, ale można przypuszczać, że przekracza ona 100 000 ofiar.
W dniu dzisiejszym minister cyfryzacji Janusz Cieszyński poinformował o udostępnieniu strony internetowej https://bezpiecznedane.gov.pl/ umożliwiającej sprawdzenie, czy nasze dane znajdują się w tej bazie. Przypuszczalnie zespół CERT Polska również już informuje dostawców usług o dotkniętych kontach ich klientów znajdujących się w ujawnionych danych. Wiele podmiotów będzie musiało podjąć sporo pracy w najbliższych dniach.
Parę słów wyjaśnienia na temat usługi Bezpieczne Dane:
1️⃣W poniedziałek wieczorem zespół @CERT_Polska otrzymał informacje o bardzo dużym wycieku danych. Były to pary login/hasło wraz z informacją o serwisie, do którego były wykorzystane.
2️⃣We wtorek zdecydowaliśmy, że w związku…— Janusz Cieszyński (@jciesz) May 31, 2023
Przedwczoraj w nocy w sieci pojawił się duży zbiór loginów i haseł 🇵🇱 obywateli.
Uruchomiliśmy proste narzędzie do sprawdzenia, czy Wasze dane znalazły się w tym wycieku. Zapraszam do korzystania z https://t.co/5kylczcTH7
— Janusz Cieszyński (@jciesz) May 31, 2023