W minionych tygodniach ujawniono dwa duże wycieki danych. Pierwszy dotyczył informacji użytkowników Facebooka, drugi zawierał dane osób zarejestrowanych w serwisie LinkedIn. Łączy je nie tylko data oraz metoda ujawnienia (obie paczki danych zostały udostępnione pierwotnie na hakerskim forum RaidForums), ale też pokaźna liczba zgromadzonych rekordów.

Dane użytkowników Facebooka, opublikowane za darmo, obejmują 533 miliony osób pochodzących ze 106 krajów. W tym ponad 2,5 miliona Polaków, 11 milionów użytkowników pochodzących z Wielkiej Brytanii, 30 milionów Amerykanów i 7 milionów Australijczyków. Co ważne, nie jest to nowy wyciek danych. Facebook dawno naprawił lukę pozwalającą na pozyskanie danych, co wskazuje na to, że pochodzą one najprawdopodobniej z końca 2019 roku. Baza danych była dostępna od 2020 roku dla każdego, kto miał ochotę zapłacić za kopię całego zbioru. Teraz, w nieco zmodyfikowanej formie, została udostępniona za darmo. Co znajduje się w paczce z danymi? Nie ma tam ani danych dotyczących prywatnych wiadomości, ani haseł czy też ich hashy. Znajdziemy tam natomiast: imię i nazwisko, numer telefonu, adres e-mail, płeć, zawód oraz ograniczone informacje o miejscu zamieszkania 533 milionów użytkowników Facebooka. Wyciek nastąpił w wyniku błędu w funkcjonalności importu kontaktów. Najprawdopodobniej atakujący wygenerowali miliardy fikcyjnych kontaktów posiadających kolejno generowane numery telefonów. Przy próbie importu spreparowanych kontaktów, interfejs aplikacji Facebooka odpowiadał danymi (zawartymi w upublicznionej bazie) jeśli numer telefonu był poprawny. Wszystkie rekordy pochodzące z wycieku zostały załadowane do bazy serwisu HaveIbeenPwned, dzięki czemu możemy łatwo sprawdzić, czy nasze dane zostały wykradzione.

Nie minął nawet tydzień od ujawnienia wycieku, gdy pojawiły się informacje o kolejnym. Na tym samym forum, na którym udostępniono dane użytkowników Facebooka, pojawił się plik zawierający 2 miliony profili pochodzących z serwisu LinkedIn. Jednocześnie, w poście sprzedający zapewnił, że ma do dyspozycji dane kolejnych 500 milionów kont, które udostępni każdemu, kto zapłaci czterocyfrową sumę w dolarach. LinkedIn poinformował, że wykradzione dane nie zawierają żadnych prywatnych informacji dotyczących użytkowników. Zestaw danych pochodzących z darmowej próbki potwierdza to stanowisko. Próbka zawiera: adresy e-mail, numery telefonów, płeć, tytuły zawodowe i inne dane dostępne publicznie w profilach użytkowników serwisu. Dane nie zawierają żadnych wrażliwych informacji, haseł ani numerów kart kredytowych. Zawierają tylko informacje widoczne w profilu LinkedIn, stąd wniosek, że zostały najprawdopodobniej pozyskane w wyniku scrapingu. Scraping to technika, w której program komputerowy automatycznie pobiera dane udostępniane przez inny program bądź serwis. Hakerzy najpewniej po prostu „pobrali” publicznie dostępne dane, wykorzystując napisany przez siebie program automatycznie zbierający informacje.

Czy zatem nic się nie stało, skoro obie paczki danych nie zawierają żadnych informacji, które można by uznawać za poufne? Warto pamiętać, że nawet adres e-mail może wystarczyć kompetentnemu cyberprzestępcy do spowodowania poważnych szkód. Z tego powodu wiele narodowych zespołów reagowania na incydenty komputerowe wydało odpowiednie komunikaty, w których przypomniano o najczęściej występujących typach ataków, związanych z wyciekiem takich danych. Zalicza się do nich między innymi: podszywanie się pod użytkownika w celu wysyłania innym złośliwych linków (próśb o przelewy pieniężne lub prośby o wygenerowanie kodów jednorazowych np. BLIK). Wykorzystywanie pozyskanych danych użytkownika do przejęcia innych kont, na przykład przez resetowanie haseł przy użyciu pytań zabezpieczających, na które odpowiedź uzyskał atakujący, gromadząc dostępne publicznie dane osobowe.

Na ataki z wykorzystaniem udostępnionych w sieci danych z wycieków nie trzeba było czekać długo. W Polsce już po tygodniu pojawiły się liczne kampanie wyłudzeniowe. Przestępcy, wysyłając na numery telefonów pozyskanych z wycieków SMSy z fałszywą informacją o oczekującej przesyłce bądź też konieczności uregulowania zaległej faktury czy rachunku za prąd, liczyli, że nieuważny odbiorca SMS kliknie umieszczony w wiadomości link. Link był oczywiście fałszywy i przygotowany jedynie w celu wyłudzenia środków finansowych. Na wzorowo spreparowane panele płatności, z których rzekomo możemy zalogować się na konto swojego banku lub zlecić płatność online, codziennie nabiera się wiele osób. Przestępcy przechwytują w ten sposób dane potrzebne do zalogowania się w serwisie bankowym, a ofiary tracą swoje oszczędności. W ciągu ostatniego roku CERT.PL (Computer Emergency Response Team) zablokował 32 tysiące domen wykorzystywanych w przestępstwach takich jak opisane wyżej.

Podobny proceder miał miejsce w USA. Tu ostatnio dość często pojawiają się wiadomości, w których przestępcy podszywają się pod banki, podsyłając link mający zawierać nowy wyciąg z konta, na którym rzekomo pojawił się debet. Innym powszechnym rodzajem ataku jest podszywanie się pod popularne sklepy internetowe takie jak Wallmart czy Amazon. Procedura w obu przypadkach jest podobna, link prowadzi do fałszywej strony, która do złudzenia przypomina stronę prawdziwego banku bądź bramkę płatności. Ofiara, logując się, udostępnia swoje dane dostępowe przestępcom.

Jak zatem bronić się przed złodziejami? Przede wszystkim należy zachować większą czujność, jeśli chodzi o podawanie danych osobowych w Internecie, cyberprzestępcy mogą wykorzystać je do przeprowadzania ukierunkowanego phishingu, a w konsekwencji do wyłudzeń i innych nieuczciwych działań. Przed kliknięciem jakikolwiek link zweryfikujmy nazwę domeny, jeśli nie jesteśmy pewni, sprawdźmy jej wiarygodność, używając wyszukiwarki.

Autor: Wiktor Sędkowski
Ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla najlepszych firm informatycznych.


Artykuł pierwotnie ukazał się na stronie think tanku Warsaw Institute.
[CZYTAJ TEN ARTYKUŁ]