Wycieki danych w 2023 r. w Polsce

Wycieki danych w maju 2023 r.

W maju 2023 r. doszło do jednego z największych wycieków danych w historii polskiej cyberprzestrzeni. 29 maja 2023 r. użytkownicy, działającego w obrębie sieci TOR forum Cebulka, mogli znaleźć udostępniony plik zawierający ponad 6 milionów wierszy danych logowania do kont założonych w dziewięciu różnych domenach.

Portale branżowe w tym okresie informowały, iż najwięcej danych wykradziono z takich serwisów, jak Facebook, Allegro, gov.pl, poczta.wp.pl, poczta-onet.pl oraz x-kom.pl. Ucierpieli również użytkownicy ING Banku Śląskiego i mBanku, a także klienci sklepu Morele.net. Wyciek danych odbił się tak szerokim echem, że błyskawicznie zareagowało ministerstwo cyfryzacji – uruchomiło dedykowaną witrynę, dzięki której każdy z nas mógł sprawdzić, czy jego dane są bezpieczne.

Analizy udostępnionych plików wykazały, że wyciek był efektem działania malware, a dane pochodziły z różnych źródeł.

Wycieki danych z ALAB Laboratoria

19 listopada 2023 r. grupa hakerów o nazwie RA World zapowiedziała, że niebawem udostępni pliki wykradzione z serwerów firmy ALAB Laboratoria, prowadzącej diagnostykę medyczną w wielu placówkach w Polsce. Wykradzionych zostało 246 GB danych. Jak dowiedzieliśmy się później, atak miał na celu wymuszenie na spółce ALAB zapłacenia okupu, na który firma się jednak nie zdecydowała.

Początkowo grupa RA World opublikowała wyłącznie dokumenty dotyczące prowadzenia działalności, takie jak: umowy najmu, akty notarialne, dane marketingowe, dane dotyczące floty samochodów czy dokumentacja sprzętu. W kolejnym opublikowanym archiwum znalazły się jednak dane pacjentów – 54 000 kart wyników badań, a w nich pełne dane osobowe, numery PESEL, adresy zamieszkania, dane lekarzy zlecających oraz same dane medyczne.

RA World nie poprzestał na tym działaniu. Dalsza eskalacja doprowadziła do upublicznienia informacji kadrowych, między innymi danych pracowników i współpracowników. Upubliczniono zeznania PIT zawierające zarobki, a także pełne dane i adresy zamieszkania oraz zameldowania.

Jak wskazał portal niebezpiecznik.pl, część plików kadrowych wykradzionych z ALAB Laboratoria stanowiły archiwa 7zip oraz zaszyfrowane arkusze kalkulacyjne. Jedna z pracujących w dziale HR specjalistek miała w swoim zwyczaju szyfrowanie plików z arkuszami kadrowymi i to jest godne pochwały, jednak zdecydowana większość plików nie była w ALAB należycie zabezpieczona, co tylko ułatwiło hakerom zadanie.

Wycieki danych w 2023 r. na świecie

Wycieki danych w 2023 r., nierzadko bardziej dotkliwe od opisanych powyżej, obejmowały zasięgiem cały świat. „Najgłośniejsze” z nich wymieniamy poniżej.

Royal Mail w Wielkiej Brytanii

Brytyjska poczta Royal Mail w styczniu 2023 r. ogłosiła, że w wyniku incydentu cybernetycznego miała trudności z realizacją procesów, w tym z wysyłką przesyłek za granicę (atak wymierzony był na oprogramowanie do drukowania etykiet). Za atakiem na organizację i żądaniem okupu stała grupa hakerów Lockbit powiązana z Rosją. Wcześniej ta sama grupa wyłudziła ponad 100 mln dolarów okupu od innych organizacji oraz stała za atakami na szpitale dziecięce.

Wyciek danych z Citibanku

W marcu 2023 r. doszło do wycieku danych w jednym z największych banków na świecie. Dane klientów Citibanku, w tym numery kont, dane osobowe oraz szczegóły transakcji, zostały upublicznione. Bank błyskawicznie zareagował, podejmując środki zaradcze i powiadamiając swoich klientów.

Capita w Wielkiej Brytanii

Capita UK, firma outsourcingowa świadcząca swoje usługi m.in. dla rządu Wielkiej Brytanii, w kwietniu 2023 r. potwierdziła, że doszło do ataku na jej systemy. W wyniku incydentu wyciekło około 4% danych zgromadzonych na serwerach. Firma spotkała się z dużą krytyką z uwagi na lekceważący stosunek do incydentu i wprowadzanie w błąd opinii publicznej (bardzo długo zwlekano z potwierdzeniem, czy doszło do ataku, z czego nie byli zadowoleni m.in. inwestorzy).

Wyciek danych z Adobe Creative Cloud

We wrześniu 2023 r. hakerzy wykorzystali luki w zabezpieczeniach serwerów firmy Adobe – giganta rynku oprogramowania kreatywnego – wykradając miliony danych osobowych klientów firmy. Informacje dotyczyły głównie danych osobowych oraz danych subskrypcji obsługiwanych przez firmę. Organizacja poinformowała klientów o incydencie i zaleciła zmianę haseł, a także zmieniła politykę dotyczącą bezpieczeństwa, stawiając na większą transparentność działań.

W cyberbezpieczeństwie nie istnieją jednoznaczne odpowiedzi, ani tym bardziej w 100% skuteczne systemy ochrony. Mamy wiele możliwości ochrony przed wyciekami danych i atakami, ale jednocześnie nie jesteśmy w stanie uniknąć ich całkowicie.

Zazwyczaj największe zmiany mogą być wprowadzone przez najprostsze działania, dlatego tak istotne jest, aby firma stosowała sprawdzone metody szyfrowania danych, a pracownicy byli do tego zobowiązani przez wewnętrzne polityki bezpieczeństwa. Kadra powinna być ponadto świadoma istniejących zagrożeń i konsekwencji ich bagatelizowania. Wdrażanie podstawowych zasad cyberbezpieczeństwa to najlepszy fundament do poprawy poziomu ochrony. Mogą pomóc w tym między innymi szkolenia z tzw. security awarenessi, czyli świadomości bezpieczeństwa oraz kontrolowane testy phishingowe, które w praktyce sprawdzają podatność pracowników na socjotechnikę.

Kluczowe jest również wykorzystanie najlepszych z dostępnych środków technicznych takich jak firewall (np.Cloud Firewall od Netii) czy też wyspecjalizowane do ochrony konkretnych obszarów sieci, jak na przykład ochrona poczty elektronicznej od Netii.

Na szczególną uwagę zasługują rozwiązania klasy DLP, służące do analizowania firmowych danych w poszukiwaniu wrażliwych informacji, kontroli przepływu oraz zapobiegania wyciekom. Dzięki monitorowaniu przepływu danych firma może egzekwować polityki bezpieczeństwa, a także zapewniać zgodność z obowiązującymi przepisami (np. GDPR).

Do monitorowania ruchu sieciowego zespoły SOC wykorzystują wysoce zautomatyzowane platformy SIEM/SOAR, które pozwalają wykrywać niepokojące anomalie i identyfikować intruzów.