14:51
1/3/2024

Wyciek danych i ataki na dostawców Glovo, Uber i innych platform

Autor: Marcin Maj | Tagi:  

Ktoś uzyskał nieuprawniony dostęp do danych dostawców Bolta, Glovo, Ubera, Wolta, którzy korzystali z aplikacji AppJobs.Work dzięki której mogli świadczyć swoje usługi dostaw. Tysiące osób może paść ofiarą przestępstwa, a winny całej sytuacji jest prawdopodobnie …były pracownik AppJobs.

APPJOBS.WORK — co to jest?

AppJobs, to aplikacja dla dostawców, którzy współpracują z takimi firmami jak Wolt, Uber, Glovo czy Bolt (i nie tylko z tymi). Chodzi o to, aby kierowca czy kurier mógł podpisać umowę w jednym miejscu dla wszystkich usług tego typu. Jak zapewne się domyślacie, taka aplikacja musi zebrać dość sporo danych o kierowcy lub kurierze. Niestety te dane wyciekły.

Dziwne powiadomienie o incydencie

W ubiegłym tygodniu kurierzy korzystający z AppJobs zaczęli otrzymywać od twórców aplikacji wiadomość o skierowanym na kurierów ataku phishingowym. Wiadomości z ostrzeżeniami wyglądały tak:

Wiadomości miały dwa fragmenty. Jeden napisany dużą czcionką, drugi — nie zgadniecie dlaczego — małą czcionką.

Część napisana dużą czcionką informowała, że adres e-mail odbiorcy mógł być wykorzystany do oszustwa, ale w wiadomości napisano:

Nic nie wskazuje na to, żeby nasze systemy uległy cyberatakowi, zgłaszamy naruszenie Prezesowi Urzędu Ochrony Danych Osobowych, przygotowujemy także zawiadomienie o podejrzeniu popełnienia przestępstwa. Jesteśmy zdeterminowani współpracować z odpowiednimi organami na każdym etapie postępowania.
Podczas ataku nie ujawniono żadnych haseł ani danych logowania.

Czyli można było odnieść wrażenie, że owszem, był jakiś atak, do kierowców poszedł phishing, ale w sumie to nic się nie stało. Niestety gorzej wyglądała druga część napisana małą czcionką. Bo wynikało z niej, że o ile haseł nie pozyskano, to pozyskano praktycznie wszystko do czego te hasła broniły dostępu:

  1. nazwiska i imiona,
  2. dane wynikające z umowy z Appjobs,
  3. dane o obywatelstwie,
  4. adresy zamieszkania,
  5. dane dotyczące pojazdów,
  6. numery PESEL,
  7. numery dokumentu tożsamości,
  8. numery rachunku bankowego,
  9. dane o wynagrodzeniach,
  10. informacje o zatrudnieniu.

Grubo, nie?

AppJobs ostrzegł też, że kurierzy powinni uważać na dalszy phishing, powinni zastrzec dokumenty i PESEL i muszą liczyć z wyłudzeniami kredytów.

W tym miejscu zadacie sobie zapewne jedno pytanie. Jak ich zhackowano, skoro napisali, że ich systemów nie zhackowano?

Najpierw był wyciek, potem phishing

O sprawie dowiedzieliśmy się po części od jednego z dostawców korzystających z AppJobs. On swoją historię opisał tak:

Po rozmowach na forach tysiące nas pracowników Appjobs.Work dostało maila, że niby zostaliśmy wylosowani do bonusa 4000 zł z linkiem do kliknięcia i potwierdzenia konta bankowego. Niby wiadomo, że się w linki nie klika ale w mailu był mój numer konta bankowego więc myślałem, że faktycznie wygrałem coś w tej firmie. Po kilku godzinach firma wysłała maila, żeby w nic nie klikać bo to nie oni wysłali (…) ten wyciek musiał być wcześniej bo od 2 tygodni dzwonią dziwni ludzie do mnie znają moje imię i adres i wkręcają w jakieś kryptowaluty.

Wiadomość phishingowa, którą otrzymały ofiary wyglądała tak.

Powtórzmy, że atakujący wiedział do kogo wysłać wiadomość i widocznie znał numery kont ofiar. To był atak ukierunkowany. A link w wiadomości kierował do strony wyłudzającej pieniądze.

Ponieważ atakujący wiedział dużo o ofiarach, sytuacja przypomniała nam wydarzenie sprzed lat, gdy ktoś atakował klientów Wakacje.pl oraz Travelplanet.pl. Przypomnijmy, że wówczas nabywcy wycieczek dostawali informacje o rzekomych promocjach, a maile były bardzo wiarygodne bo znajdowały się w nich dane o faktycznie kupionych przez te osoby wycieczkach. Nie był to efekt “ataku na infrastrukturę” ani “wycieku haseł”, bo ataków dokonał wówczas zbuntowany pracownik, który nadużył swoich uprawnień. Zaczęliśmy odnosić wrażenie, że w AppJobs to może być powtórka z “Wakacji.pl”. I chyba rzeczywiście była.

AppJobs: to mógł były pracownik

Do AppJobs zwróciliśmy się z pytaniami już przedwczoraj. Początkowo dostaliśmy potwierdzenie, że incydent miał miejsce ale bez szczegółowych wyjaśnień. Dziś dostaliśmy szczegółowe odpowiedzi na pytania. Udzielił nam ich Oskar Rapalski, Prezes Zarządu Appjobs Fleet Sp. z o.o.

Z naszych ustaleń wynika, ze za atak phishingowy na użytkowników Appjobs, podczas którego wykorzystano numery kont oraz adresy e-mail naszych użytkowników, odpowiedzialny jest prawdopodobnie były pracownik firmy. (…) nie mamy dowodów wskazujących na to, aby doszło do zewnętrznego wycieku danych spowodowanego np. atakiem phishingowym na któregoś pracownika z uprawnieniami administratora. Wszystko wskazuje na to, że naruszenie zostało dokonane przez osobę, która miała wcześniej autoryzowany dostęp do naszych systemów. 
Były pracownik, będący prawdopodobnym sprawcą, miał w przeszłości uprawnienia i dostęp umożliwiające mu zgromadzenie niezbędnych danych. Jego działania były możliwe dzięki stopniowemu i systematycznemu uzyskiwaniu dostępu do różnych elementów naszej infrastruktury IT. W związku z tym, nasze podejrzenia skoncentrowały się na tej konkretnej osobie, co skłoniło nas do zawiadomienia organów ścigania. Atak phishingowy i potencjalne wykorzystanie danych użytkowników do oszustw finansowych nastąpiły, jak się wydaje, już po wycieku danych spowodowanego działaniami wewnętrznymi.

Dowiedzieliśmy się również, że firma przeprowadziła już analizę w celu identyfikacji i zweryfikowania kont, które mogły zostać naruszone.

Informowaliśmy również naszych użytkowników o incydencie, udzielając wskazówek, jak chronić się przed phishingiem i innymi formami oszustwa. W odpowiedzi na incydent zwiększyliśmy środki ochrony, ograniczyliśmy dostępy administratorów do baz danych, ale przede wszystkim poinformowaliśmy wszystkich użytkowników o ataku w kilka godzin po wykryciu zdarzenia za pośrednictwem kanału na Telegramie, wysłaliśmy wiadomość e-mail, a także za pośrednictwem notyfikacji push.

Kilka dni później zawiadomiliśmy o naruszeniu ochrony danych osobowych naszych użytkowników sugerując możliwe działania mające na celu zabezpieczenie swoich danych m.in. sugerowaliśmy zmianę haseł. Rozważamy przeprowadzenie audytu bezpieczeństwa IT, aby zwiększyć naszą świadomość dotyczącą adekwatności stosowanych zabezpieczeń – dodał Oskar Rapalski

Co robić? Jak żyć?

Niestety w tej sytuacji trzeba założyć najgorsze tzn. jeśli korzystasz z AppJobs, załóż że Twoje dane kontaktowe, adresowe i finansowe wpadły w ręce oszustów. To oznacza, że możesz być celem różnych oszustw socjotechnicznych z wykorzystaniem tych danych, nie tylko teraz, również kilka lat po tym wycieku. W tej sytuacji warto podjąć następujące kroki.

  1. Zastrzeż Dowód osobisty w systemie Dokumenty Zastrzeżone i dodatkowo zastrzeż PESEL (tutaj więcej informacji o tych dwóch różnych środkach zapobiegawczych).
  2. Unieważnij dowód i wyrób nowy dowód osobisty (niezależnie od zastrzeżenia będziesz mieć “podkładkę”, że nie korzystasz z danego dowodu od danego dnia)
  3. Możesz założyć sobie konto w BIK i sprawdzić, czy jakieś instytucje pytały o Twoje dane. Ta usługa jest darmowa dwa razy w roku.
  4. Możesz rozważyć skorzystanie z usługi Alertów BIK. Jest to usługa płatna (42 zł na rok) dzięki której będziesz informowany SMS-owo o tym, że jakaś instytucja pyta o Twoje dane.
  5. Istnieją inne możliwości (sprawdzanie siebie w tzw. BIG-ach tj. rejestrach dłużników albo odpytanie Centralnej Informacji o Rachunkach), ale zwykle po te środki sięga się wówczas, gdy mamy powody sądzić, że naszych danych już gdzieś użyto.
  6. Monitoruj swoje konta bankowe. Rozważ zablokowanie dostępu do konta jeśli mogło dojść do podanie danych dostępowych na jakiejś stronie w wyniku phishingu.
  7. Upewnij się, że masz różne hasła do różnych usług i że nie mają one związku z danymi, jakie wyciekły.

Sposobów na ochronę przed wyciekiem danych jest więcej. Jeśli chcesz poznać wszystkie możliwości ochrony siebie i swoich najbliższych przed wyciekiem Twoich danych (który prędzej czy później pewnie się przydarzy) to rzuć okiem na nagranie naszego webinara pt. “Jak przygotować się na wyciek danych?” — dajemy instrukcję co zrobić zanim dojdzie do wycieku i jak reagować, jeśli już do niego doszło. Omawiamy różne techniki i narzędzia i pokazujemy jak sprawdzić, czy coś na nasz temat już “lata po sieci”. Z kodem KURIER otrzymasz zniżkę 50% na dostęp do tego materiału. Kod ważny jest tylko do końca dnia, ale bez obaw — dostęp do nagrania dajemy na 30 dni, więc na pewno zdążysz. Tu bezpośredni link do koszyka.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

5 komentarzy

Dodaj komentarz
  1. defender 2024.03.01 20:13 | # | Reply

    Do porad Niebezpiecznika dodałbym, że jeśli coś złego zaczęłoby się dziać (np. w BIK jest informacja o wyłudzeniu kredytu lub pożyczki na nasze dane itp.) to nie można zakładać, że ponieważ to nie my zrobiliśmy to sprawa rozwiąże się sama. Należy aktywnie się bronić i w tym celu warto skorzystać z pomocy prawnej.
    Na początek można zwrócić się o poradę do Powiatowego/Miejskiego Rzecznika Konsumentów. Aby uzyskać potrzebne namiary wystarczy w poniższą wyszukiwarkę wpisać nazwę swojej miejscowości oraz wybrać “usługi bankowe”.

    Rzecznicy konsumentów
    https://uokik.gov.pl/rzecznicy-konsumentow
    “Rzecznicy konsumentów pomagają bezpłatnie. Udzielają porad prawnych, pomagają w napisaniu pisma reklamacyjnego lub procesowego. Rzecznik może także wystąpić z powództwem w imieniu konsumenta lub wstąpić – za zgodą konsumenta – do toczącego się postępowania w sprawach o ochronę interesów konsumentów.”

    Pomocy może udzielić również Rzecznik Finansowy:
    https://rf.gov.pl/kontakt/

    • Kenjiro 2024.03.04 09:34 | # |

      Tylko, że większość osób ma co najwyżej darmowy BIK, a w codziennym użytkowaniu darmowy BIK albo wk… bezsensownymi komunikatami (zamówiłeś coś na Allegro z zapłatą za 30 dni – kilka powiadomień o operacjach BIK, ale nie odczytasz czego dotyczą, dopóki nie zapłacisz), albo jest już dawno “po bombkach”.
      BIK w formie bezpłatnej jest prawie bezużyteczny, więc w ogóle nie ma sensu o nim wspominać, zaś koszt płatnej jest z kosmosu.

    • defender 2024.03.04 12:09 | # |

      Ja nie korzystam z płatności odroczonych i jestem zadowolony z Alertów. Podobno za jakiś czas ma być możliwość ustawienia od jakiej kwoty użytkownik chce otrzymywać Alerty.
      Moim zdaniem pobieranie darmowego raportu raz na 6m ma sens.

  2. WkurzonyBialyMis90210 2024.03.08 00:06 | # | Reply

    > pracowników Appjobs.Work dostało maila, że niby zostaliśmy wylosowani do
    > bonusa 4000 zł z linkiem do kliknięcia i potwierdzenia konta bankowego.

    Forma byla by podejrzana nawet gdybym faktycznie w cos gral a email przyszedl od organizatora, z kontem i bez konta. Ludziom na widok “darmowej” kasy wylacza sie myslenie, a powodu nie mozna nazwac inaczej jak: chciwosc…

  3. UWAŻAJ! Z APPJOBS WYCIEKŁY TWOJE DANE! – ZENTRALE 2024.03.19 10:03 | # | Reply

    […] więcej: niebezpiecznik.pl […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: