Partner serwisu

Znów wyciek danych. Tym razem baza policjantów, strażaków, celników. Czy jesteśmy bezbronni?

Rwąca rzeka kolejnych naszych danych, które pojawiają się w sieci, zaczyna przypominać biblijny potop. W tym miesiącu dowiedzieliśmy się o wycieku danych z Facebooka i Linkedin – łącznie ponad 1 mld rekordów. Teraz pracownik Rządowego Centrum Bezpieczeństwa (sic!) udostępnił w ArcGIS, popularnym serwisie do wizualizacji danych, plik excel… z danymi osobowymi funkcjonariuszy publicznych. Jakie wnioski płyną dla nas z tych wydarzeń? 

W sieci pojawił się plik excel z danymi osobowymi ponad 20 000 funkcjonariuszy publicznych, obejmujący prywatne informacje policjantów, funkcjonariuszy CBŚP, celników, pracowników Administracji Skarbowej, Służby Ochrony Państwa, Straży Granicznej, Straży Pożarnej – zawodowej i ochotniczej, Inspekcji Transportu Drogowego, Straży Miejskiej, SOK-u i Służby Więziennej.

Zobacz również:

Można było się z tej bazy danych sporo dowiedzieć. Na przykład są w niej:  imiona i nazwiska, adresy e-mail, numery telefonów komórkowych (cenne!), pełne nazwy jednostek, w których są zatrudnione dane osoby (jeśli nie znacie telefonu do swojego dzielnicowego to… może teraz już znacie?), adresy zamieszkania z podaną ulicą i numerem domu, miejscowością oraz kodem pocztowym, a także – jako wisienka na torcie – numery PESEL.

Oczywiście: nie mówimy o wszystkich danych dotyczących wszystkich mundurowych w kraju. Arkusz excel zawierał listę funkcjonariuszy i pracowników instytucji rządowych zgłoszonych do szczepień przeciwko Covid-19, a podane w pliku informacje pozwalają przypuszczać, że dane dotyczą osób zgłaszanych w okresie od 12 kwietnia 2021 r. do 20 kwietnia 2021 r.

Jakie mogą być konsekwencje wycieku?

Dane funkcjonariuszy publicznych, policjantów i celników oraz pracowników skarbówki i wymiaru sprawiedliwości są bardzo łakomym kąskiem dla przestępców i osób, które chciałby wyrównać rachunki z przedstawicielami władzy. A przynajmniej z tymi, którzy – w ich mniemaniu – wyrządzili im jakąś krzywdę. Np. wsadzili za kratki lub nałożyli karę w postępowaniu administracyjno-skarbowym. Albo np. wlepili mandat, choć przecież mogliby tylko pouczyć.

O tym, że takie wycieki wcale nie są zabawne, przekonali się pracownicy wymiaru sprawiedliwości, których dane znalazły się w sieci w wyniku wycieku informacji z systemów Krajowej Szkoły Sądownictwa i Prokuratury. Wyciek miał miejsce 21 lutego 2021 r., jednak KRSiP dowiedziała się o nim dopiero 7 kwietnia. Od Komendy Głównej Policji. Dane ponad 50 tysięcy osób – sędziów, prokuratorów, policjantów i aplikantów sądowych przez ponad półtora miesiąca wisiały sobie spokojnie w sieci, dostępne dla każdego. I właśnie osoby te zostały niedawno zasypane niecenzuralnym spamem.

Wydaje się, że zarzucenie spamem nie jest najgorszym, co nas może spotkać. Jednak problemem jest sytuacja, w której wyciek obejmuje nie tylko imię, nazwisko oraz adres e-mail, ale też numery telefonów komórkowych. Takie dane są unikalne i pozwalają połączyć ze sobą różne zbiory informacji. W ten sposób ktoś o złych intencjach i sporej determinacji może wejść w posiadanie prywatnych i służbowych danych osób odpowiedzialnych za sprawne funkcjonowanie naszego pięknego kraju.

Czytaj też: Jak dopadł nas wyciek danych z Facebooka

I wtedy może stać się dokładnie wszystko

Od „niewinnego” spamowania, po przesyłki z niezbyt przyjemną lub wręcz groźną zawartością, albo zastraszanie i szantaż. Bo przecież większość z nas ma rodzinę i dzieci. I dotyczy to także funkcjonariuszy publicznych oraz pracowników instytucji rządowych. Tym razem wszystko dzięki „ogarniętemu inaczej” pracownikowi Rządowego Centrum Bezpieczeństwa.

Jedynym pozytywnym aspektem dzisiejszej sprawy jest fakt, że plik z danymi mógł zostać pobrany wyłącznie przez zalogowanych użytkowników ArcGIS. A ci są z reguły etycznymi badaczami. W przypadku wycieku z 21 lutego ofiary nie miały tyle szczęścia – ich dane leżały gotowe do pobrania przez dowolnego rzezimieszka.

To Ciebie też może spotkać. Nawet jeśli nie miałeś pecha i Twoje dane nie wyciekły do sieci w ramach „akcji” dotyczących Facebooka i Linkedin, to niewykluczone, że w przyszłości i Ty staniesz się ofiarą tego rodzaju wycieku. Rzecz jest poniekąd niezależna od nas. Zostawiamy jakieś dane firmie lub instytucji, której ufamy i możemy co najwyżej dać na tacę w intencji, żeby zostały dobrze zabezpieczone. A jeśli nie są i zostaną upublicznione?

Co robić, gdy nasze dane wyciekają do sieci z siłą wodospadu?

Dowiadujemy się, że był kolejny wyciek danych, który tym razem objął instytucję, w której pracujemy, firmę, w której robimy zakupy, portal, któremu podaliśmy dane. Co robić? Po pierwsze: nie panikować, ale spróbować podejść do sprawy racjonalnie i sprawdzić, czy nasze dane też zostały ujawnione. Można to zrobić np. na stronie haveibeenpwned.com, gdzie wystarczy podać adres e-mail lub numer telefonu. Jednak strona ta ma pewną bezwładność i może informować o wycieku z niewielkim opóźnieniem.

Poza tym każdy z nas może zabezpieczyć się przed niektórymi skutkami wycieku danych. Powinniśmy pamiętać o:

Unikalne i mocne hasła

To absolutna podstawa. Używanie tych samych adresów e-mail oraz haseł do logowania się w różnych miejscach wystawia nas na naprawdę spore niebezpieczeństwo. A cyberprzestępców na niezłą pokusę.

Dlatego, jeśli do tej pory właśnie w ten sposób ułatwialiśmy sobie życie, trzeba jak najszybciej wykonać herkulesową pracę i pozmieniać hasła do wszystkich, licznych kont. Najlepiej na silne, losowe hasła generowane przy pomocy generatora haseł. Ten ostatni oferowany jest przez każdy menadżer haseł.

Menedżer haseł

Menedżer haseł pozwala zarządzać mnóstwem długich i silnych haseł. Sposób korzystania z najbardziej popularnych programów tego typu opisaliśmy go w tekście: Co to jest menedżer haseł i jak się zabezpieczyć? Poradnik dla opornych.

Wielką zaletą tych programów jest funkcja audytu, która sprawdzi hasła i wytknie każdą ich słabość.

Silne hasło główne w przeglądarce

A jeśli przechowujemy hasła w przeglądarce, koniecznie jest ustawienie silnego hasła głównego, które pozwoli zaszyfrować i zabezpieczyć nasz skarbczyk. To podstawy. Jednak coraz częściej wyciekają dane, które nie dotyczą wyłącznie wirtualnej strony naszego życia, ale dają dostęp do całkiem realnych jego obszarów.

Pytanie, czy w ogóle możemy coś zrobić, gdy np. wycieknie nasz numer PESEL. I czy wtedy musimy zaczynać każdy dzień od wizyty w Biurze Informacji Kredytowej i sprawdzaniu, czy aby ktoś nie zaciągnął w naszym imieniu pożyczki?

Co zrobić, gdy wycieknie PESEL?

Teoretycznie możemy zastrzec nasz PESEL i włączyć zastrzeżenie kredytowe w BIK (pozwala poinformować banki i firmy pożyczkowe, że nie planujemy zaciągać kredytów lub pożyczek – ale niestety niewiele instytucji finansowych z tego systemu korzysta). W Polsce nie ma jednolitego systemu, który pozwoliłby zablokować możliwość zaciągnięcia pożyczki lub kredytu na skradzione dane.

Istnieje kilka niezależnych systemów, w których możemy zastrzec dane oraz sprawdzać, czy aby ktoś nie skorzystał z okazji i nie wyłudził pieniędzy na nasze nazwisko. Ale i tak nie mamy gwarancji, czy jakaś udzielająca pożyczek firma parabankowa skorzysta z tych systemów. Tak naprawdę przydałoby się ujednolicony system monitorowania udzielanych kredytów oraz pożyczek oraz prawo, które zobowiązywałoby wszystkie instytucje do jego używania.

PESEL to dana, która jest jak tatuaż, przypisana do nas raz, a dobrze. Ale innymi podatnymi na wycieki danymi możemy próbować „zarządzać”. Jak? Powinniśmy mieć oddzielne adresy e-mail, a może nawet i oddzielne numery telefonów, które wpisywalibyśmy na stronach internetowych, w e-sklepach, portalach społecznościowych. To pozwoliłoby rozdzielić dwa obszary naszego życia – ten publiczny i ten, którego nie chcemy udostępniać nikomu.

Oddzielne adresy e-mail

Adres służbowy, adres prywatny, oddzielne adresy e-mail do social mediów i innych sieciowych atrakcji oraz osobne adresy e-mailowe używane w bankach i w przypadku korzystania z ważniejszych usług? Wygląda to na dość skomplikowany układ, ale wszędzie tam, gdzie skojarzenie naszych danych i numeru telefonu może narazić nas na kradzież tożsamości lub pieniędzy – to może zadziałać.

Rozdzielenie na własną rękę zbiorów danych powinno pomóc w wielu sytuacjach. Oczywiście do czasu, aż ktoś nie umieści wszystkich naszych danych w sieci. Ot tak. Przez nieuwagę. Wtedy pozostaje wyjazd w Bieszczady i przejście na życie off-grid.

Ale żeby nie zwariować: pamiętajmy, że nawet jeśli ktoś zna nasz PESEL (nie musiał go ukraść, mógł podpatrzeć), to jeszcze daleka droga do sklonowania naszej tożsamości lub do wjazdu na nasze konto bankowe. Jeśli będziemy ostrożni, nieufni, nie będziemy klikali każdego linku, który ktoś nam podeśle – wciąż będziemy bezpieczni.

Czytaj też: Wyciek danych z Facebooka i Linkedin – czy można walczyć o odszkodowanie?

Zdjęcie: Peter F. Wolf on Unsplash
Źródło: Niebezpiecznik.pl

Subscribe
Powiadom o
guest
1 Komentarz
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Andrzej
Andrzej
5 miesięcy temu

No i weź się teraz spisz w spisie powszechnym. Przecież to aż się prosi o wyciek.

Najnowsze wpisy naszych autorów Wszyscy autorzy
Przyszłość jest tutaj

Podaj swój adres email i odbieraj najświeższe informacje o nowych technologiach i nie tylko.

email-iconfacebooktwitteryoutubelinkedin instagram whatsup
Skip to content