Pod koniec maja br. w Internecie opublikowano pliki zawierające loginy i hasła użytkowników wielu różnych serwisów internetowych (usługi bankowości elektronicznej, usługi poczty elektronicznej, portale zakładów ubezpieczeń, portale społecznościowe, sklepy internetowe, fora internetowe, itp.). Ilość opublikowanych informacji wskazuje, że był to jeden z największych tego typu wycieków danych.
Oszacowano, że dotyczył ok. 1 miliona unikatowych adresów e-mail, a do większości z nich można przyporządkować kilka różnych haseł dostępu do poszczególnych serwisów. W plikach umieszczone były również adresy stron, na których serwisy te są dostępne. Publikacja tych informacji w sieci rodzi ryzyko nieuprawnionego dostępu do Państwa danych.
Pozyskanie loginów i haseł było możliwe za pomocą złośliwego oprogramowania (tzw. stealer), którym zainfekowany był komputer, z którego użytkownik korzystał. Gdy użytkownik logował się w jakimkolwiek serwisie, oprogramowanie to przejmowało informacje zapisywane w wykorzystywanej przeglądarce internetowej (adresy stron, loginy i hasła), a następnie wysyłało te dane do przestępcy.
Z uwagi na brak pewności co do pełnej skali tego zdarzenia, zachęcamy do zapoznania się z poniższą informacją, która podpowiada, jakie kroki należy podjąć, aby ryzyko zminimalizować i skutecznie jemu przeciwdziałać w przyszłości.
W związku z zaistniałą sytuacją, zdecydowanie rekomendujemy niezwłoczne podjęcie poniższych działań, w kolejności, w której zostały wymienione.
KROK 1 – sprawdź, czy przeglądarki internetowe, z których korzystasz (np. Internet Explorer, Google Chrom, Firefox, Microsoft Edge, Opera lub inne), zapisały jakiekolwiek Twoje hasła.
Każda z popularnych przeglądarek daje taką możliwość. Instrukcje, jak to zweryfikować są ogólnie dostępne w sieci - skorzystaj z nich.
W przypadku, w którym stwierdzisz, że przeglądarka zapisała hasła, usuń je z rejestru oraz wyłącz opcję ich zapamiętywania. Spowoduje to, że logując się do poszczególnych serwisów, za każdym razem będziesz musiał wprowadzać swoje hasło, ale znacząco podniesie to poziom bezpieczeństwa Twoich danych w nich przetwarzanych.
KROK 2 – skorzystaj z programu antywirusowego i sprawdź, czy Twój komputer jest bezpieczny. Jeśli wykryjesz jakiekolwiek ryzyka – wyeliminuj je.
Pamiętaj, że program antywirusowy nie daje 100% gwarancji. Jeżeli nie wykrył zagrożeń, a Ty nadal masz uzasadnione obawy, że komputer może być zainfekowany, zabezpiecz najważniejsze dane i przywróć urządzenie do stanu fabrycznego.
KROK 3 – jeżeli masz już pewność, że Twój komputer jest odpowiednio zabezpieczony, dokonaj zmiany haseł, które wykorzystywałeś do tej pory w poszczególnych serwisach internetowych.
Pamiętaj, że im bardziej skomplikowane hasło, tym lepiej zabezpieczony jest dostęp do Twoich danych.
Na stronie https://bezpiecznedane.gov.pl/, po uprzednim zalogowaniu przez Profil Zaufany, możesz sprawdzić, czy Twoje dane były przedmiotem wspomnianego wycieku i opublikowania.
Podając swoje dane w sieci, w tym te, które służą do zalogowania w serwisach, korzystaj z zaufanych komputerów (dotyczy to także innych urządzeń – np. telefonów lub tabletów). Weryfikuj systematycznie poziom ich bezpieczeństwa, a w przypadku, w którym chcesz skorzystać z urządzenia obcego, przed wprowadzeniem danych sprawdź, czy jest zabezpieczone aktualnym programem antywirusowym oraz, czy przeglądarka ma wyłączoną opcję zapamiętywania haseł.
W serwisach, które to umożliwiają, korzystaj z opcji wieloskładnikowego uwierzytelniania (in. dwuetapowej weryfikacji). Mechanizm ten dodatkowo zabezpiecza Twoje dane w serwisie w przypadkach, w których podstawowe dane logowania (login i hasło) zostaną przejęte przez osobę nieuprawnioną.