Mamy prawdopodobnie do czynienia z jednym z największych jednorazowych wycieków w historii polskiego internetu. Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online oraz kontami Polek i Polaków na całym świecie.

Na Cebulce, polskojęzycznym forum w sieci Tor, opublikowano ogromną bazę danych zawierającą miliony wierszy. Każdy wiersz to dane konta gdzieś w sieci, najczęściej należącego do kogoś z Polski. Oto jak wygląda publikacja:

Co zawiera opublikowany plik
Plik o nazwie „.pl.txt” posiada 6 274 679 wierszy. Prawie każdy wiersz z kolei zawiera adres strony WWW, z której pochodzą wykradzione dane oraz login i hasło używane w tym serwisie internetowym. Prawie każdy wiersz – bo zdarzają się także takie źle sformatowane, z samym adresem strony, samym loginem czy hasłem lub po prostu uszkodzone. Większość wierszy wygląda jednak „prawidłowo”.

Plik najwyraźniej stanowi fragment większej całości, z której wybrano wszystkie wiersze zwierające ciąg znaków „.pl”. Oznacza to, ze znalazły się w nim głównie dane dotyczące serwisów prowadzonych w domenie .pl oraz dane loginów, zawierających adresy email w domenie .pl. Mamy więc w efekcie miks, zawierający:

loginy i hasła z domen .pl
loginy i hasła uzytkowników polskich serwisów pocztowych
oraz całkiem niemało loginów i haseł z serwisów, które… zaczynają się od liter „pl” – np. www.playzone.in.th” (w tej kategorii znajduje się jednak mniej niż 10% wszystkich wpisów).
Oznacza to, że mimo tytułu wpisu, sugerującego, ze baza zawiera ok. 4,5 miliona wpisów, w rzeczywistości zawiera ona ponad 6 milionów wpisów, z których znakomita większość dotyczy kont z Polski. Krótki test na bazie dał następujące, przykładowe wyniki (domena oraz liczba pozycji na liście):

facebook.com: 119 334
allegro.pl: 88 282
.gov.pl: 44 385
poczta.onet.pl: 28 747
poczta.wp.pl: 12 056
x-kom.pl: 10 761
morele.net: 2672
online.mbank.pl: 10 140
.ingbank.pl 1227
To tylko wybrane domeny ilustrujące skalę bazy – na liście są ich tysiące.

Skąd pochodzą dane
Format danych wskazuje dość jednoznacznie na źródło w postaci plików „stealera” – czyli złośliwego oprogramowania, które po zainfekowaniu komputera pobiera z niego wszystkie loginy i hasła zapamiętane kiedykolwiek przez przeglądarkę i przesyła swoim twórcom. Dane pozyskane w ten sposób stanowią jeden z głównych elementów obrotu wśród przestępców, natomiast rzadko publikowane są w tak hurtowych ilościach i za darmo.

Niestety trudno oszacować wiek ujawnionych informacji. W bazie nie brakuje haseł zawierających w treści ciąg „2023”, zatem można domniemywać, że przynajmniej część ujawnionych danych jest bardzo aktualna.

Warto także zauważyć, że ze względu na pochodzenie danych, nie można raczej mówić o milionach ofiar. Z reguły z jednego komputera wyciec może między kilkanaście a kilkadziesiąt rekordów i faktycznie pobieżna weryfikacja wskazuje, że w bazie pojawiają się ofiary, z którymi powiązane jest kilkadziesiąt kont w różnych serwisach. Z uwagi na brak jednolitego formatowania danych nie sposób oszacować nawet przybliżoną liczbę osób dotkniętych tym incydentem, ale możemy zgadywać, że przekracza ona 100 000 ofiar.

Czy moje dane są w tej bazie
Niestety w tej chwili nie opublikowano jeszcze narzędzia, umożliwiającego taką weryfikację. Mamy nadzieję, że wkrótce ono powstanie. Aktualizacja 2023-05-31: Dane są już w serwisie HaveIBeenPwned.com, można tam sprawdzić swojego emaila. Domyślamy się także, że zespół CERT Polska informuje już dostawców usług o kontach ich klientów, znajdujących się w ujawnionych danych. Wiele podmiotów czeka sporo pracy w nadchodzących dniach.

Co robić, by nie zostać ofiarą takiego wycieku?
Choć przechowywanie haseł w przeglądarce jest wygodne, to bezpieczniejsze jest ich trzymanie w dedykowanym managerze haseł. My polecamy KeepassXC – żadne z popularnych narzędzi kradnących hasła do tej pory tam nie sięga.
Rząd już działa – zaoferował narzędzie, tyle że nie działa – KLIK!

Poprzedni artykułObjazd do milickiego szpitala
Następny artykułJest narzędzie, tyle że nie działa