Dane polskich internautów w Sieci, czyli wielki wyciek... którego nie było

O sprawie jako pierwszy informował serwis Niebezpiecznik.pl, który już przedwczoraj wieczorem napisał, że na pewnym forum można znaleźć dane tysięcy kont użytkowników najróżniejszych polskich (i nie tylko) serwisów internetowych - m.in. Allegro.pl, Nasza-Klasa.pl, Era.pl, Kurnik.pl, TP.pl, Orange.pl, O2.pl, Fotka.pl czy Blox.pl. Informacja zatytułowana "Ogromny wyciek haseł polskich internautów!" jest konkretna i rzeczowa (jeśli przymkniemy oko na nieco przesadzony, naszym zdaniem, tytuł) - wyraźnie napisano tu, że rzeczonych serwisów nikt nie zaatakował, a owe dane internautów przestępcy zdobyli w inny sposób. Niektóre serwisy i gazety zrobiły z tego "wielki wyciek danych z Allegro.pl, Naszej Klasy itp." - mimo iż na razie wygląda na to, że witryny te nie zostały w żaden sposób zaatakowane i nie zawiniły w najmniejszym stopniu.

Co się NIE wydarzyło?

Z tego, co o sprawie wiemy do tej pory, wynika, że nie doszło do żadnych włamań do polskich serwisów. Wbrew temu, co piszą niektóre media, owe loginy i hasła nie wyciekły z Allegro czy Naszej Klasy itp. Skąd to wiemy? A choćby ze screenów opublikowanych przez Niebezpiecznik.pl - widać na nich wyraźnie, że przechwycono dane użytkowników kilkudziesięciu (co najmniej) różnych serwisów. Zupełnie nieprawdopodobna wydaje nam się teoria, że ktoś miałby ochotę (i możliwości), by po kolei włamywać się do wielu serwisów - tylko po to, by z niektórych wykraść zaledwie po kilka haseł. Nie był to też tzw. phishing (czyli wyłudzanie danych za pośrednictwem serwisów podszywających się pod legalne strony) - bo komu chciałoby się tworzyć kopie kilkudziesięciu różnych stron?

Co się wydarzyło?

Pewne jest to, że ktoś zdobył i opublikował w Internecie dane (tzn. loginy i hasła) kilku tysięcy użytkowników najróżniejszych polskich (i nie tylko) stron WWW. Jak przejęto owe dane? Naszym zdaniem metoda była dość prosta - wszystkie loginy i hasła zostały skradzione bezpośrednio z komputerów ich właścicieli. Przestępcy wykorzystali fakt, że wciąż jeszcze nie wszyscy mają świadomość, że komputer należy odpowiednio zabezpieczyć - tzn. zainstalować oprogramowanie antywirusowe i na bieżąco aktualizować wszystkie aplikacje. Ci, którzy tego nie robią, narażają się na atak złośliwego oprogramowania - najróżniejszych wirusów, koni trojańskich czy robaków. Problem dotyczy, rzecz jasna, przede wszystkim użytkowników Windows.

W tym przypadku to pewnie robota jakiegoś trojana, wyposażonego w funkcję rejestrowania wszystkich znaków wprowadzanych za pomocą klawiatury - taki szkodnik zwykle uaktywnia się, gdy użytkownik otworzy w przeglądarce stronę logowania do jakiegoś serwisu. Program przechwytuje znaki wprowadzone przez użytkownika i wysyła je do swojego "operatora" (lub operatorów) - a ten, jak widać, zwykł publikować je w Internecie. Z tą tezą w 100% zgadza się Przemysław Jaroszewski, specjalista ds. bezpieczeństwa z organizacji Computer Emergency Response Team (CERT) Polska, który w rozmowie z Technonews.pl powiedział:

To, że dane wykradziono z komputerów internautów, jest praktycznie pewne - widać to wyraźnie po tym, jakie informacje są widoczne na screenach [opublikowanych przez Niebezpiecznik.pl - red] i jak są one przedstawione. Proszę zwrócić uwagę, że są tam nie tylko loginy i hasła, ale nawet... nazwy komputerów, z których je przejęto.

Hasła wyciekają od dawna

Co ważne - z tego, co udało nam się ustalić, wynika, że sprawa nie jest nowa - owa lista haseł i loginów polskich internautów istniała od dawna i była sukcesywnie rozbudowywana o kolejne pozycje. "Ów wątek na forum nie był nowy - składał się z kilkudziesięciu stron - loginy i hasła musiały być tam publikowane od dawna. Od kiedy dokładnie - trudno powiedzieć, bo ów wątek zniknął zanim dotarło do nas zgłoszenie i nie mieliśmy okazji sprawdzić tego dokładnie" - potwierdza P. Jaroszewski.

Czyli podsumowując: dane kilku tysięcy polskich internautów faktycznie są w Sieci. Ale winni tego są przede wszystkim sami poszkodowani (bo nie zadbali o bezpieczeństwo swojego komputera).

Ukradali Ci hasło - co teraz?  

Oczywiście, nie znaczy to, że problemu nie ma - jest poważny i mają go przede wszystkim osoby, których hasła pojawiły się w Sieci. Właściwie, to mają one nawet kilka problemów... Po pierwsze, ich komputery zainfekowane są złośliwym kodem - dlatego pierwszym krokiem osoby, która podejrzewa, że jej konto mogło  zostać przejęte, powinno być zainstalowanie programu antywirusowego (sporo darmowych można znaleźć w Ściągnij.pl) i przeprowadzenie pełnego skanowania systemu.  Jeśli aplikacja wykryje złośliwe oprogramowanie, należy je usunąć (szczególnie, jeśli w nazwie znajdą się frazy trojan lub keylogger...).

Kolejnym działaniem powinno być uaktualnienie systemu oraz wszystkich zainstalowanych w nim aplikacji. Windows i inne produkty Microsoftu uaktualnimy odwiedzając witrynę Microsoft Update, zaś do sprawdzenia, które jeszcze programy wymagają łatania może przydać się online'owe narzędzie Secunia Online Software Inspector (program nie tylko powie nam, co trzeba załatać, ale poinformuje też skąd pobrać poprawki lub nowe wersje).

Drugi problem polega na tym, że jeśli ktoś pozna nasze hasło, to bez problemu może przejąć kontrolę nad naszym kontem w Allegro, Naszej klasie itp. Dlatego gdy powyższe zadanie zostanie wykonane, należy koniecznie zmienić hasła dostępu do serwisów, z których korzystamy (wcześniej nie bardzo jest sens, bo nowe hasła i tak zostaną przechwycone przez złośliwe oprogramowanie w naszym systemie - chyba, że mamy do dyspozycji drugi komputer, który na pewno jest bezpieczny; nieźle nada się do tego maszyna z Linuksem lub Mac OS X).

I jeszcze a propos zamieszania medialnego wokół spraw związanych z IT: cała ta historia z "wielkim wyciekiem" nieco przypomina nam niedawne kontrowersje wokół technologii TOR. Pisalismy o tym szerzej w tekście "Sieć TOR - początek histerii mediów".

Daniel Cieślak