Pod koniec maja bieżącego roku portale zajmujące się bezpieczeństwem, a następnie media informowały o największym wycieku danych w historii polskiego Internetu. Do sieci trafiło ponad 6 milionów loginów i haseł z serwisów takich jak: allegro.pl, librus.pl, online.mbank.pl, ingbank.pl, x-kom.pl, poczta.onet.pl, gov.pl i wielu innych. Powyższa informacja była następ- nie publikowana przez wiele portali informacyjnych oraz radio i telewizję. Warto przyjrzeć się tej sytuacji z perspektywy obowiązków jakie RODO nakłada na organizacje w przypadku wycieku danych.
Co było przyczyną wycieku?
Przyczyną wycieku nie było włamanie lub seria włamań do polskich firm. Baza danych zawierająca kilka milionów rekordów to zagregowane dane ze złośliwego oprogramowania (tzw. stealera), które infekowało komputery Polaków. Zainstalowany „wirus” podczas swojej pracy przechwytywał loginy i hasła, które były wpisywane do przeglądarki internetowej, a następnie zapisywał je w bazie danych. Warto zaznaczyć, że w opublikowanej bazie danych znajdował się często kilka lub kilkanaście rekordów pobranych z jednego komputera – stąd ostateczna liczba zainfekowanych komputerów może być znacznie mniejsza niż 6 milionów (być może 100-200 tysięcy komputerów).
Sprawdź jak wdrożyć RODO w twojej organizacji
Co powinna zrobić organizacja, której loginy i hasła znalazły się w „wycieku”?
Ponieważ źródłem wycieku nie były serwery powyższych organizacji, żadna z nich nie miała bezpośredniego obowiązku zgłaszania powyższego faktu do Prezesa Urzędu Ochrony Danych Osobowych. Bardzo pozytywnym krokiem, który wykonały niektóre firmy było powiadomienie swoich klientów (w formie komunikatu na stronie www lub mailowo) o fakcie, że źródło wycieku nie dotyczy włamania do infrastruktury i dane klientów są bezpieczne. Jednocześnie informowano o blokadzie zagrożonych kont oraz rekomendowano zmianę hasła dostępowego lub firma samodzielnie dokonała wymuszonej zmiany hasła. Takie proaktywne podejście powinno być powszechnie stosowane.
Gdzie sprawdzić czy moje dane wyciekły?
Istnieje kilka możliwości weryfikacji wycieku danych. Jednym z nich jest rządowa strona https://bezpiecznedane.gov.pl, na której można (po uwierzytelnieniu się profilem zaufanym) zweryfikować czy adres email lub login wyciekły do sieci Internet. Istnieją też zagraniczne serwisy, np. https://haveibeenpwned.com/ gdzie także można zlokalizować źródło wycieku, ale tylko w przypadku podania adresu email lub numeru telefonu. Warto pamiętać, że zagraniczne serwisy często z dużym opóźnieniem aktualizują swoje bazy danych i dane dotyczą najczęściej informacji o wyciekach z konkretnych organizacji, a nie kradzieży z komputerów osobistych – jak w tym przypadku.
Jakie działania prewencyjne można podjąć?
W tym konkretnym przypadku źródłem wycieku były komputery osobiste, na których zostało zainstalowane złośliwe oprogramowanie. Oznacza to, że wyciekły hasła zarówno zapisane w przeglądarkach internetowych jak i takie, które były wpisywane ręcznie (złośliwe oprogramowanie rozpoznaje pole typu login/hasło i wykrada dane dostępowe). Nie ma technicznej możliwości, aby po takiej infekcji uchronić się przed utratą swoich danych. Pozostaje tylko minimalizacja skutków takiego wycieku.
Natomiast można stosować kilka podstawowych środków, które minimalizują skutki wycieków haseł i wpływają na bezpieczeństwo kont dostępowych:
- jeden system = jedno hasło, co powoduje, że w przypadku wycieku następuje danych logowanie tylko do jednego konta,
- okresowa zamiana haseł,
- stosowanie dwuskładnikowego uwierzytelnienia (np. jednorazowy kod sms lub potwierdzenie w aplikacji mobilnej).
Podsumowanie
W omawianym przypadku żadna z organizacji, której loginy i hasła zostały ujawnione, nie miała bezpośredniego obowiązku zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu (w trybie art. 33 RODO), ponieważ źródło wycieku było poza ich wiedzą i kontrolą. Warto jednak maksymalnie pomóc klientom w zabezpieczeniu danych, a także dbać o komunikację z klientem i w ten sposób budować pozytywny wizerunek organizacji dbającej o ochronę danych osobowych.
