10:19
15/12/2017

W sieci pojawiają się usługi oferujące “raporty z wycieków” (tzn. sprawdzanie, czy wasze dane nie wyciekły wraz z jakąś wykradzioną bazą). Te strony reklamują się w spamie, najczęściej trudno określić ich dostawcę i mogą one sprzedawać dane ze źródeł publicznych jako “dane z wycieków”. Można to klasyfikować różnie, od drobnego naciągania do zwykłego oszustwa.

W ostatnim czasie podsyłaliście do naszej redakcji e-maile takie jak ten poniżej, wraz z pytaniem w rodzaju “co o tym sądzisz droga redakcjo Niebezpiecznika?”. Mail informuje o wycieku miliardów haseł i obiecuje usługę sprawdzenia, czy były wśród nich wasze dane.

Sądzimy, że jest to próba zarobienia na strachu. Przyjrzyjmy się dwóm przykładom takich usług, zagranicznemu i polskiemu.

Dark Sources – brytyjsko-arizoński mix?

Powyższy e-mail pochodzi rzekomo od firmy Dark Sources Security, której serwis znajdziecie pod adresem www.darksources.com (choć równie dobrze maila mógł wysłać jakiś partner, ponieważ linki wyglądają na linki afiliacyjne). Firma Dark Sources twierdzi, że monitoruje Deep Web oraz Darknet, które to tajemnicze sieci stanowią od 5 do 10% całego internetu (szkoda, że nie ma linka do źródła danych).

Na stronie czytamy.

Only with the right team of experts and advanced software tools behind you, will you be able to find specific threats to your business, your family, and your personal information that may be, or has been breached and released online.

Straszne, ale na szczęście są oni! Dark Sources! Ich strona na pierwszy rzut oka wygląda bardzo profesjonalnie i nawet zawiera coś w rodzaju regulaminu i polityki prywatności.

Nieco mniej profesjonalnie wyglądają inne podstrony, na których są zdjęcia ze znakami wodnymi Getty Images :). Jest też  odnośnik do konta na Facebooku, gdzie firma ma całe 3 polubienia i 4 obserwujących. Cóż… zaczynali w tym roku, więc biznes się rozkręca. W regulaminie da się znaleźć adres firmy w Arizonie, a także drugi adres gdzieś w Cambridge. Gdzieniegdzie przy nazwie firmy jest słowo “Limited” więc to chyba spółka, ale właściwie nie wiadomo gdzie zarejestrowana. Polityka prywatności firmy odwołuje się do UK Data Protection Act 1998, ale w ogólnych warunkach świadczenia usługi jest odwołanie do prawa Arizony. Jeśli będziecie chcieli coś wyjaśnić z tą firmą to z pewnymi problemami powinniście się zgłaszać do Arizony, a z innymi do Cambridge.

Raport

Z treści strony Dark Sources wynika, że jej produktem jest serwis www.freehackreport.com. W tym serwisie można sobie założyć konto, które ma nam gwarantować powiadomienia o tym, że nasze dane wyciekły. Konto może być darmowe, ale wówczas ilość informacji w przekazanym raporcie będzie ograniczona. Za bardziej “soczyste” dane trzeba płacić. Postanowiliśmy sprawdzić tę usługę podając adres e-mail z pewnego wycieku. Wzięliśmy darmowy raport, który wyglądał tak:

Szału nie ma, ale raport ma być bogatszy jeśli zapłacisz. W panelu klienta  jest miejsce na wpisanie numeru karty, daty ważności i CVV.  Dostępne są dwa pakiety za 5 lub 50 dolarów. W pakiecie za 50 dolarów jest możliwość sprawdzenia, czy wyciekły informacje o Twojej rasie, preferencjach seksualnych i samochodzie. Rzecz w tym, że w wielu przypadkach takie informacje o człowieku da się znaleźć, jeśli mamy jego adres e-mail. Wcale nie trzeba szperać w darkwebie – często wystarczy Facebook.

Zamawiając raport oddajesz dane!

Pierwszy problem jaki widzimy jest taki – źródło pochodzenia danych jest niejasne i mogą to być dane dostępne publicznie. W najgorszym razie Dark Sources powie, że nic nie wyciekło i co? Możesz być pewien, że nie wyciekło?

Drugi problem – zamawiając raport oddajesz dane o sobie. W panelu klienta można podać kilka adresów e-mail, zatem Dark Sources otrzymuje informację o powiązaniach między adresami. Jeśli dodatkowo przeczytasz regulamin usług Dark Sources to dowiesz się, że z automatu zgadzasz się na przekazywanie danych wszelkim partnerom i podmiotom zależnym firmy. Masz prawo poprosić, aby Twoje dane nie były przetwarzane do celów marketingowych (czyli domyślnie są). Niestety nie udało nam się ustalić jak złożyć tę prośbę online, bo z pewnością można to zrobić zgłaszając się do siedziby w Cambridge. Regulamin gwarantuje dostęp do własnych danych, ale może się to wiązać z opłatą 10 funtów.

Polski wariant – DanePersonalne.pl

W Polsce też pojawiła się usługa tego typu, była aktywna w październiku i na początku listopada jako strona DanePersonalne.pl. Na stronie DanePersonalne.pl dało się zamówić raport na temat telefonu lub adresu e-mail, a odbywało się to przez taki formularz.

Strona zawierała również straszliwą listę wycieków.

Jeśli ktoś zamówił raport (wypełnił formularz) jego oczom ukazywała się informacja o konieczności wpłacenia 5 zł na konto w banku ING.

Czytelnicy dali znam znać, że strona rozsyłała także e-maile z informacją o wycieku danych z pewnego sklepu i obiecywała przesłanie analizy problemu. Ta usługa kosztowała już 10 zł.

Jeśli ktoś zdecydował się na “raport”, otrzymywał e-mailem informację w takim stylu.

Raport dla adresu email “(usunięto)”

Pochodzenie – (nazwa strony)
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasł

Pochodzenie – (nazwa firmy)
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasło, państwo, data urodzenia

Dane, które zostały utracone w wyniku powyższych wycieków nie są wrażliwe.

Zalecenia:
W Pani/Pana przypadku zmiana wszystkich haseł powinna wystarczyć. Odnośnie spamu zalecamy blokowanie adresów email, z których otrzymuje Pani wiadomości.

Zalecamy także używania różnych haseł do różnych serwisów.
Proszę nigdy nie zapisywać haseł w pamięci przeglądarki, ponieważ w łatwy sposób można je przejąć. W przypadku dużej ilości haseł wskazane jest używanie oprogramowania do zarządzania hasłami (np. KeePassa).

Zamówiliśmy jeden raport z ciekawości i niestety go nie otrzymaliśmy. Jeden z naszych Czytelników też postanowił spróbować i dostał raport. Uznał jednak, że przekazane w raporcie dane mogły być zwyczajnie znalezione w sieci. Wskazywał na to fakt, że raport podawał pewną daną jako aktualną, gdy w istocie była ona mocno nieaktualna, ale dało się ją ustalić właśnie przeszukując stare ogłoszenia w sieci.

Strona usługi DanePersonalne.pl również miała wyglądać profesjonalnie. Była na niej informacja o prawach autorskich,  opinie rzekomych klientów, odnośniki do konta w social mediach itd. Niestety nie poinformowano kto świadczył usługę. Nie było też żadnego regulaminu, informacji o przetwarzaniu danych osobowych itd. Jedyne co było wiadomo o podmiocie świadczącym usługę, to że chwalił się on posiadaniem kilkuset baz danych powstałych w wyniku wycieku.

Strona DanePersonalne.pl podobnie jak Dark Sources mogła służyć do zbierania danych. W tym przypadku każdy kto zamawiał raport potwierdzał, że korzystał z danego e-maila. Możliwe było przekazanie kilku adresów, dzięki czemu “tajemniczy usługodawca” mógł ustalić, że dane adresy łączy jedna osoba/firma/rodzina etd. Jeśli ktoś opłacił raport to wykonał przelew na 5 zł, przekazując tym samym swoje nazwisko, adres oraz numer konta (czyli informację o banku). Skoro bliżej nieokreślony dostawca usługi dysponuje pewnymi bazami danych (jak twierdzi) i nie ma oporów przed przetwarzaniem danych bez zgody zainteresowanych to  tym bardziej nie było powodów by mu ufać.

Obecnie prawo stwarza grunt do uruchomienia takiego biznesu. Dlaczego? Ponieważ podmioty notujące wyciek danych powinny być zawsze zobowiązane do poinformowania klientów lub regulatora o tym fakcie. Teraz tego typu obowiązek mają operatorzy telekomunikacyjni, ale wiele innych firm może zwyczajnie przemilczeć wyciek. Sami spotykaliśmy się z sytuacjami, gdy zgłaszaliśmy jakiejś firmie fakt wycieku, a po zasugerowaniu by powiadomić o tym klientów słyszeliśmy: “nie mamy takiego obowiązku”. Prawo w tym zakresie zmieni się po wejściu w życie tzw. RODO (GDPR), ale na to musimy jeszcze poczekać.

Czy takie usługi mogą być legalne?

Patrząc na przykład DanePersonalne.pl i Dark Sources możemy sobie zadać jedno pytanie. Czy usługa dostępu do danych z wycieku w ogóle może być legalna na gruncie prawa polskiego czyt unijnego? Na pytanie odpowiedział nam dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński związany także z instytutem Allerhanda.

Moim zdaniem nie. Przesądza o tym kilka kwestii:

  1. brak podstawy prawnej przetwarzania takich danych – nie tylko nie ma zgody, ale nie można też twierdzić, że takie dane są przetwarzane w celu realizacji tzw. usprawiedliwionego celu/interesu administratora danych, a to dlatego, że uwzględniając zakres takich danych (jak zakładam, mówimy o całej bazie z wycieku), interes osób, których dane dotyczą, w postaci ochrony ich prywatności, oczywiście przeważa nad interesem przedsiębiorcy, który chce świadczyć taką usługę,
  2. zakres danych wykracza i poza zasadę adekwatności (u.o.d.o.), i poza zasadę minimalizacji danych (RODO).

Na gruncie RODO miałbym duże wątpliwości, czy taka baza danych przeszłaby pozytywnie DPIA (data protection impact assessment; ocenę skutków dla ochrony danych).

Boje się, że moje dane/hasła wyciekły. Co robić? Jak żyć?

Po pierwsze zastanów się jak wiele informacji o Tobie jest dostępnych publicznie. Być może powiązanie e-maila z Twoją osobą to nie jest większy problem, podobnie jak ustalenie pewnych szczegółów o Twoim życiu. Musisz też mieć świadomość, że zamawiając jakikolwiek “raport” o wycieku przekazujesz pewne dane osobom, które mają ten raport przygotować. Jeśli raport stwierdzi, że Twoje dane są “czyste” to wcale nie znaczy, że faktycznie tak jest.

Jeśli chcesz sprawdzić, czy Twoje dane wyciekły, najlepszym sposobem będzie wejście na serwis haveibeenpwnd.com. Oferuje on wiarygodne informacje bez konieczności płacenia, zakładania konta, czy oczekiwania na raport przesłany e-mailem. Polecamy się tam “sprawdzić” każdemu, a administratorom firmowych sieci dodatkowo uwierzytelnić swoją domenę e-mailową i otrzymywać automatyczne powiadomienia o tym, czy ktoś z Waszych pracowników nie jest ofiarą nowego wycieku danych (serwis po dodaniu kolejnej bazy sprawdza ją pod kątem zarejestrowanych domen i informuje automatycznie, jeśli dane któregoś z pracowników są w bazie).

O tym serwisie i o innych sposobach na ochronę swoich danych w sieci podczas korzystania z różnych serwisów internetowych, w tym sieci społecznościowych, sklepów i bankowości opowiadamy w ramach naszych cyberwykładów, które są dedykowane firmom oraz w ramach naszych otwartych spotkań pt. “Jak nie dać się zhackować“, na które przyjść może każdy. Najbliższe tego typu spotkania odbędą się

  • WARSZAWA: Czwartek, 18 stycznia 2018r., godz. 18:00.
    Miejsce: Kinoteka w Pałacu Kultury i Nauki.
  • KRAKÓW: Poniedziałek, 22 stycznia 2018r., godz. 18:00
    Miejsce: Tauron Arena

Na powyższe wykłady możecie się zarejestrować w tym miejscu. Śpieszcie się, zostały ostatnie wolne miejsca!

Pamiętajcie, że jeśli korzystacie z unikatowych haseł (czyli różnych do różnych serwisów), to nie musicie się sprawdzać na żadnych stronach. Bo nawet jeśli Wasze dane skądś wyciekną, to nikt nie wykorzysta ich do przejęcia innych Waszych kont. Unikatowe hasła to podstawa internetowego BHP.

P.S. Kiedyś pisaliśmy też o usłudze sprawdzania, czy hasło wyciekło oraz o usłudze sprawdzania czy wyciekł numer karty. Nie było to może dokładnie to samo co “raporty o wyciekach”, ale problem jest w pewien sposób podobny. Człowiek wystraszony wizją “wycieku danych” jest w stanie sam podać te dane komukolwiek. Warto być wyczulonym na to zjawisko i kilka innych.

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Może dorzućcie link do https://haveibeenpwned.com/ ? Baza wycieków jest dosyć bogata, i są też powiadomienia mailowe o nowych. Działa całkiem sprawnie. Udało mi się dzięki tej bazie ustalić skąd ktoś wziął moje hasło do Steama (tak, miałem w kilku usługach to samo hasło, w tych najmniej istotnych – ale po przejęciu konta na steamie zaktualizowałem wpisy w KeePassie, teraz, zgodnie z dobrymi praktykami, żadne hasło nie jest używane w więcej niż 1. miejscu).

    • Wielkie dzięki za adres tej strony, rzeczywiście jest świetna, bo można bez obaw sprawdzić, czy ktoś nas z czegoś oskubał. Ja właśnie dzięki tej stronie odkryłam, że 2 lata temu ktoś zhackował pewną stronę, na której miałam konto (najzabawniejsze, że mnie na niej zbanowali). Na szczęście jestem jeszcze dzieciakiem i nic ważnego nie wyciekło, bo fejsbókuf się wtedy nie miało, a co dopiero jakiś kont bankowych czy firm. Jedyne co miałam ważnego, to konta na jakiś grach online, ale że już od dawna z nich nie korzystam (ogólnie to miewam po 5 kont na każdej grze, bo tu się zapomni hasła, a u się zechce zacząć od nowa, a tam się znudzi login) to nie muszę się niczego obawiać. Zwłaszcza że to nie jest dla mnie problem założyć nowe konto (patrz poprzedni nawias) – nigdy nie byłam w stanie dobić w grze nawet 20 poziomu.

  2. Sam mechanizm działania stron przypomina bardzo wszelakiej maści stronki do sprawdzania historii samochodu po podaniu nr VIN – za dodatkowymi opłatami też obiecują jakieś raporty. Zdecydowana większość tych stronek to zwykłe naciąganie na kasę.

  3. “Jeśli ktoś opłacił raport to wykonał przelew na 5 zł, przekazując tym samym swoje nazwisko, adres oraz numer konta (czyli informację o banku).”

    Jeśli chodzi o adres przekazywany przy przelewach, to czy macie świadomość, jaki adres Wasz bank przekazuje odbiorcy płatności?
    Adres zameldowania?
    Adres do korespondencji?
    Warto to sprawdzić, bo może się okazać, że bez Waszej wiedzy bank przekazuje Wasz “tajny” adres do korespondencji, który podaliście tylko do tego banku.

  4. Dajcie na swoje dane a my sprawdzimy czy gdzieś wyciekły… niezły sposób na… zdobycie danych. Co będzie następne? Podaj numer karty i kod a my sprawdzimy czy ktoś ja nielegalnie nie użył?

    • W myśl zasady: Pokaż mi swój dowód, a powiem Ci kim jesteś! :D

  5. Dla bezpieczeństwa zmniencie hasło na trudniejsze do swojego maila i różnych usług, stron.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: