Szanowni Państwo,
W ostatnich dniach na jednym z forów hakerskich opublikowano bazę danych zawierającą dane logowania ponad 140 tysięcy osób z Polski. Dane te zostały najprawdopodobniej pozyskane na przestrzeni ostatnich miesięcy za pomocą złośliwego oprogramowania typu infostealer (information stealer).
Tego typu wirusy, po zainfekowaniu komputera, kradną informacje zapisane w przeglądarkach internetowych. Wśród wykradzionych danych znalazły się loginy i hasła do szerokiej gamy serwisów, m.in. poczty e-mail (Gmail, Onet, WP), portali społecznościowych (Facebook), serwisów e-commerce (Allegro), a co szczególnie niebezpieczne – również do Profilu Zaufanego.
Krok 1: Sprawdź, czy Twoje dane wyciekły
Przypominamy, gdzie można zweryfikować, czy nasz adres e-mail lub login znalazł się w opublikowanej bazie lub we wcześniejszych wyciekach:
- Have I Been Pwned? (haveibeenpwned.com) – To zaufana, międzynarodowa platforma, która agreguje informacje o największych wyciekach danych na świecie.
- Bezpieczne Dane (bezpiecznedane.gov.pl) – Oficjalna platforma rządowa, która jako jedyna pozwala sprawdzić, czy w wyciekach pojawił się nasz numer PESEL. Niestety, prawdopodobnie z powodu ogromnego zainteresowania, serwis może być okresowo niedostępny, ale warto próbować go użyć, gdy tylko zacznie działać stabilnie.
Krok 2: Natychmiastowe działania, jeśli Twoje dane wyciekły
Jeżeli okaże się, że Twój adres e-mail lub login znajduje się w bazie, należy podjąć następujące kroki:
- Bezzwłocznie zmień hasło – Priorytetowo w serwisach, w których hasło mogło wyciec, a następnie we wszystkich innych miejscach, gdzie używałeś/aś tego samego lub podobnego hasła. Pamiętaj o fundamentalnej zasadzie: jedno hasło do jednej usługi. Rozważ użycie menedżera haseł, aby bezpiecznie zarządzać swoimi hasłami.
- Włącz uwierzytelnianie dwuskładnikowe (2FA) – To dodatkowa warstwa ochrony, która jest kluczowa. Nawet jeśli ktoś zdobędzie Twoje hasło, nie zaloguje się bez drugiego składnika, np. kodu z aplikacji (Google Authenticator, Microsoft Authenticator), kodu SMS czy klucza fizycznego (np. YubiKey). Włącz 2FA wszędzie tam, gdzie jest to możliwe, a zwłaszcza w poczcie e-mail, bankowości i Profilu Zaufanym.
- Kluczowy krok: Przeskanuj swoje urządzenia – Ponieważ źródłem wycieku było najprawdopodobniej złośliwe oprogramowanie, samo zmienienie haseł nie rozwiązuje problemu, jeśli wirus wciąż jest na Twoim komputerze. Należy dokładnie przeskanować komputer renomowanym oprogramowaniem antywirusowym w poszukiwaniu zagrożeń.
Krok 3: Bądź czujny – wzmożone ryzyko phishingu
Po takim wycieku cyberprzestępcy często wykorzystują pozyskane dane do przeprowadzania precyzyjnie ukierunkowanych ataków phishingowych. Możemy spodziewać się zwiększonej liczby fałszywych wiadomości.
- Nie klikaj w podejrzane linki i załączniki – Szczególnie uważaj na SMS-y i e-maile informujące o konieczności dopłaty do przesyłki, niezapłaconym rachunku, zablokowaniu konta czy wygranej w konkursie.
- Zawsze weryfikuj adres strony – Przed podaniem loginu i hasła upewnij się, że adres w pasku przeglądarki jest poprawny (np. mojbank.pl a nie moj-bank.pl.com). Najeżdżaj kursorem na linki, aby zobaczyć, dokąd faktycznie prowadzą, zanim w nie klikniesz.
- Nie ulegaj presji czasu – Ataki phishingowe często próbują wywołać poczucie pilności (np. „Twoje konto zostanie zablokowane za 24 godziny”). To celowy zabieg, aby skłonić Cię do pochopnego działania.
Zachęcamy do regularnego stosowania powyższych zasad higieny cyfrowej, aby minimalizować ryzyko w przyszłości.
___
Pozdrawiamy
adw. Patrycja Krzekotowska
adw. Katarzyna Piotrowska-Mańko
Komisja ds. Nowych Technologii i Sztucznej Inteligencji przy ORA w Łodzi
