Bezpieczni w sieci z OSE: wyciek danych

Czym jest wyciek danych i co zrobić, gdy tracimy dostęp do naszych poufnych informacji? Sprawdźcie, zanim będzie za późno!

W ostatnim czasie często słyszymy o tym, że w wyniku ataku lub ludzkiego błędu wyciekły bazy danych osobowych klientów niektórych firm. To poważny problem – nasze dane osobowe i inne cenne informacje na nasz temat są cenną walutą w internecie. W kolejnej części cyklu „Bezpieczni w sieci z OSE” przypominamy, co warto wiedzieć o ochronie danych i co robić, gdy doszło do ich wycieku.

Nasze dane w internecie

Zanim powiemy o wyciekach, zajmijmy się przez chwilę samymi danymi. Jakie informacje na nasz temat prawdopodobnie znajdują się w sieci, a zatem potencjalnie mogą trafić w niepowołane ręce?

  • Dane osobowe – imiona, nazwiska, numery PESEL, adresy, numery telefonów, dane logowania, dane lokalizacji i inne informacje, dzięki którym bez problemu można nas zweryfikować.
  • Dane finansowe – numery kart kredytowych i numery CVV, numery kont, informacje o pożyczkach czy ubezpieczeniach.
  • Dane zdrowotne – recepty, wyniki badań, rachunki za usługi medyczne i historia leczenia.

Ten katalog nie jest zamknięty – znajdą się tu jeszcze dane biometryczne, ale też np. tajemnice handlowe czy znaki towarowe.

Na czym polega wyciek danych?

Wyciek danych to innymi słowy upublicznienie danych użytkowników z różnych serwisów internetowych. Wiąże się z ryzykiem, że osoby nieuprawnione mogły wejść w posiadanie poufnych informacji i będą chciały wykorzystać je w niepożądany sposób. Wycieki dotyczą najczęściej loginów, haseł lub innych danych osobowych. Mogą być celowe (zaplanowane jako atak cyberprzestępców) lub przypadkowe (powstałe w wyniku ludzkiego błędu).

Oszuści polują na podatności, czyli luki w zabezpieczeniach, i w ten sposób uzyskują dostęp do naszych danych osobowych, ale też informacji np. o organizacjach czy firmach.

Jak dochodzi do wycieków?

Może się to wydarzyć na skutek m.in. ataku phishingowego, który prowadzi do zainfekowania urządzenia złośliwym oprogramowaniem, przejęcia naszego konta bankowego, poczty elektronicznej, sprzętu lub konta w mediach społecznościowych, jak również w wyniku wycieku danych np. ze sklepów internetowych lub baz prowadzonych przez różne firmy lub usługodawców.

W „Raporcie rocznym z działalności CERT Polska 2022” znajdziemy szczegółowe omówienie czterech przyczyn wycieków danych. Należą do nich:

  • niezamierzone działanie osoby przetwarzającej dane (np. niewłaściwe korzystanie z funkcji „do wiadomości” zamiast „ukryte do wiadomości” przy wysyłce maila);
  • błędy w konfiguracji wycieków (np. upublicznienie danych osobowych części studentów Szkoły Głównej Handlowej w Warszawie spowodowane błędnym zabezpieczeniem interfejsu);
  • łańcuch wycieków (np. w sytuacji, gdy przestępcy raz zdobyte dane logowania wykorzystują metodą prób i błędów w różnych serwisach – tzw. ataki typu credential stuffing);
  • działania cyberprzestępców (np. rozbudowywanie szkodliwego oprogramowania typu ransomware o funkcje pozwalające na kradzież danych z zainfekowanych maszyn).

Jak dowiecie się, że doszło do wycieku?

Najpewniej poinformuje Was o tym firma, która przechowywała upublicznione dane. Śledźcie też doniesienia w mediach! To jednak nie wszystko – musicie zwracać też uwagę na podejrzany ruch na koncie i wiadomości od nieznanych nadawców. Mogą to być oznaki tego, że Wasze dane trafiły w niepowołane ręce.

Warto co jakiś czas sprawdzać, czy Wasze dane są bezpieczne – wystarczy zalogować się profilem zaufanym na stronie bezpiecznedane.gov.pl. Co istotne, wyszukiwarka sprawdza dane podane przez zalogowanego użytkownika, jednak nie są one w żaden sposób ze sobą wiązane i nie są przechowywane.

Co robić, gdy doszło do wycieku?

Gdy zorientujecie się, że Wasze dane zostały upublicznione, przede wszystkim użyjcie programu antywirusowego, żeby sprawdzić bezpieczeństwo swojego komputera. Następnie bezzwłocznie zmieńcie dotychczasowe hasła do logowania, w tym również hasła pokrewne, które łatwo zgadnąć. Pamiętajcie o unikalnych hasłach w każdym serwisie! Ponadto – tam, gdzie to możliwe – ustawcie też uwierzytelnianie dwuskładnikowe, czyli dodatkowe zabezpieczenie, którym będzie np. jednorazowy kod z aplikacji, odcisk palca lub klucz U2F (o którym pisaliśmy ostatnio w naszej aktualności „ABC cyberbezpieczeństwa 2.0 – wracamy z nowymi definicjami do naszego słownika”).

W zależności od zakresu danych, które wyciekły, konieczne może być np. zastrzeżenie numeru PESEL, co pomoże powstrzymać oszustów np. przed zaciągnięciem pożyczki na Wasze nazwisko.

Jak się chronić przed wyciekiem?

Przede wszystkim musicie mieć świadomość, że żadne dane, które podajecie w sieci, nie są w pełni bezpieczne. Warto więc wiedzieć, jak minimalizować skutki wycieków, z którymi mamy przecież do czynienia coraz częściej.

  • Mniej znaczy więcej. Im mniej wiadomości na swój temat podajecie, zakładając konto w sklepie internetowym lub tworząc konto w jakimś serwisie, tym mniej Waszych danych może wyciec np. w razie ataku przestępców.
  • Silne zabezpieczenia to podstawa. Do ochrony swoich kont używajcie silnych haseł – składających się min. z 14 znaków, najlepiej będących kilkuwyrazową frazą łatwą do zapamiętania dla Was i trudną do odgadnięcia dla oszustów. Nie korzystajcie z tego samego hasła w wielu serwisach! Ustawcie też uwierzytelnianie dwuskładnikowe. Wszystkie niezbędne informacje znajdziecie w instrukcji CERT Polska Kompleksowo o hasłach.
  • Separacja tożsamości. Podzielcie swoje adresy e-mail na te wykorzystywane prywatnie i służbowo. Jeśli to możliwe, do logowania do bankowości internetowej używajcie innego adresu niż np. w mediach społecznościowych. Takie odrębne konta ograniczają szkody, które może wyrządzić potencjalny wyciek!
  • Uwaga, wyciek! Śledźcie komunikatu administratorów danych, którzy mają obowiązek informować klientów o wycieku. Zaglądajcie też na Facebooka CERT Polska, gdzie zawsze znajdziecie aktualne informacje o cyberzagrożeniach.
  • Przezorny zawsze ubezpieczony. Raz na jakiś czas sprawdzajcie, czy Wasze dane nie wyciekły, logując się na stronie bezpiecznedane.gov.pl.

Nasze dane osobowe są tak samo cenne w sieci, jak i „w realu” – pamiętajcie o tym na co dzień, zwłaszcza, ze całkiem niedawno (28 stycznia) obchodziliśmy Europejski Dzień Ochrony Danych Osobowych!

29.01.2024

Najnowsze artykuły