Mamy prawdopodobnie do czynienia z jednym z największych jednorazowych wycieków w historii polskiego internetu. Do sieci trafiły miliony loginów i haseł powiązanych z polskimi serwisami online oraz kontami Polek i Polaków na całym świecie.

Dzisiaj wieczorem na Cebulce, polskojęzycznym forum w sieci Tor, opublikowano ogromną bazę danych zawierającą miliony wierszy. Każdy wiersz to dane konta gdzieś w sieci, najczęściej należącego do kogoś z Polski. Oto jak wygląda publikacja:

Co ciekawe, autorem publikacji jest konto założone ok. dwóch miesięcy wcześniej, które do tej pory nie publikowało żadnych wpisów.

Co zawiera opublikowany plik

Plik o nazwie „.pl.txt” posiada 6 274 679 wierszy. Prawie każdy wiersz z kolei zawiera adres strony WWW, z której pochodzą wykradzione dane oraz login i hasło używane w tym serwisie internetowym. Prawie każdy wiersz – bo zdarzają się także takie źle sformatowane, z samym adresem strony, samym loginem czy hasłem lub po prostu uszkodzone. Większość wierszy wygląda jednak „prawidłowo”.

Plik najwyraźniej stanowi fragment większej całości, z której wybrano wszystkie wiersze zwierające ciąg znaków „.pl”. Oznacza to, ze znalazły się w nim głównie dane dotyczące serwisów prowadzonych w domenie .pl oraz dane loginów, zawierających adresy email w domenie .pl. Mamy więc w efekcie miks, zawierający:

• loginy i hasła z domen .pl
• loginy i hasła uzytkowników polskich serwisów pocztowych
• oraz całkiem niemało loginów i haseł z serwisów, które… zaczynają się od liter „pl” – np. www.playzone.in.th” (w tej kategorii znajduje się jednak mniej niż 10% wszystkich wpisów).

Oznacza to, że mimo tytułu wpisu, sugerującego, ze baza zawiera ok. 4,5 miliona wpisów, w rzeczywistości zawiera ona ponad 6 milionów wpisów, z których znakomita większość dotyczy kont z Polski. Krótki test na bazie dał następujące wyniki (domena oraz liczba pozycji na liście):

• facebook.com: 119 334
• allegro.pl: 88 282
• .gov.pl: 44 385
• poczta.onet.pl: 28 747
• poczta.wp.pl: 12 056
• x-kom.pl: 10 761
• morele.net: 2672
• online.mbank.pl: 10 140
• .ingbank.pl 1227

Skąd pochodzą dane

Format danych wskazuje dość jednoznacznie na źródło w postaci plików „stealera” – czyli złośliwego oprogramowania, które po zainfekowaniu komputera pobiera z niego wszystkie loginy i hasła zapamiętane kiedykolwiek przez przeglądarkę i przesyła swoim twórcom. Dane pozyskane w ten sposób stanowią jeden z głównych elementów obrotu wśród przestępców, natomiast rzadko publikowane są w tak hurtowych ilościach i za darmo.

Niestety trudno oszacować wiek ujawnionych informacji. W bazie nie brakuje haseł zawierających w treści ciąg „2023”, zatem można domniemywać, że przynajmniej część ujawnionych danych jest bardzo aktualna.

Warto także zauważyć, że ze względu na pochodzenie danych, nie można raczej mówić o milionach ofiar. Z reguły z jednego komputera wyciec może między kilkanaście a kilkadziesiąt rekordów i faktycznie pobieżna weryfikacja wskazuje, że w bazie pojawiają się ofiary, z którymi powiązane jest kilkadziesiąt kont w różnych serwisach. Z uwagi na brak jednolitego formatowania danych nie sposób oszacować nawet przybliżoną liczbę osób dotkniętych tym incydentem, ale możemy zgadywać, że przekracza ona 100 000 ofiar.

Czy moje dane są w tej bazie

Niestety w tej chwili nie opublikowano jeszcze narzędzia, umożliwiającego taką weryfikację. Mamy nadzieję, że wkrótce ono powstanie. Domyślamy się także, że zespół CERT Polska informuje już dostawców usług o kontach ich klientów, znajdujących się w ujawnionych danych. Wiele podmiotów czeka sporo pracy w nadchodzących dniach.

Co robić, by nie zostać ofiarą takiego wycieku?

Choć przechowywanie haseł w przeglądarce jest wygodne, to bezpieczniejsze jest ich trzymanie w dedykowanym managerze haseł. My polecamy KeepassXC – żadne z popularnych narzędzi kradnących hasła do tej pory tam nie sięga.