Wyciek kilku milionów haseł i loginów z Polski

Aktualnie mamy do czynienia z jednym z największych przypadków wycieku danych w historii polskiego Internetu. Miliony haseł i loginów, powiązanych z polskimi serwisami online oraz kontami Polaków na całym świecie, zostały ujawnione w sieci.

W poniedziałek na polskojęzycznym forum dostępnym w sieci Tor, pojawiła się ogromna baza danych zawierająca miliony wierszy. Każdy wiersz reprezentuje dane konta, najczęściej przynależącego do osób z Polski. Co ciekawe, publikacją zajęło się konto, które zostało założone około dwóch miesięcy temu i dotychczas nie zamieszczało żadnych wpisów. Jest to niezwykle interesujące zjawisko, które wzbudza pewne pytania co do intencji i motywów tego konta.

Informacje o upublicznionym pliku

Plik o nazwie ".pl.txt" zawiera aż 6,274,679 wierszy. Praktycznie każdy wiersz zawiera adres strony internetowej, z której zostały wykradzione dane, oraz login i hasło używane w tym konkretnym serwisie. Warto jednak zaznaczyć, że nie wszystkie wiersze są poprawnie sformatowane. Zdarzają się również przypadki, gdzie wiersz zawiera tylko adres strony, sam login lub hasło, lub po prostu jest uszkodzony. Niemniej jednak, większość wierszy wygląda "prawidłowo" i zawiera wszystkie wymienione informacje.

Plik wydaje się być fragmentem większej całości, w którym zostały wybrane wszystkie wiersze zawierające ciąg znaków ".pl". Oznacza to, że głównie zawiera dane dotyczące serwisów działających w domenie .pl oraz dane logowania, które zawierają adresy e-mail z domeny .pl. Ostatecznie mamy tutaj mieszankę danych, która obejmuje:

• Hasła i loginy związane z domenami .pl
• Hasła i loginy użytkowników polskich serwisów pocztowych
• Istnieje również spora liczba loginów i haseł z serwisów, które zaczynają się od liter "pl" ( na przykład playzone.in.th ). Należy jednak zaznaczyć, że ta kategoria stanowi mniej niż 10% wszystkich wpisów

Warto zauważyć, że choć większość danych dotyczy polskich serwisów i kont, istnieje również pewna liczba wpisów związanych z innymi serwisami, które przypadkiem zawierają literę "pl" w swojej nazwie.

Większość z tych wpisów dotyczy kont z Polski. Na podstawie krótkiego testu przeprowadzonego na bazie otrzymano przykładowe wyniki ( nazwa domeny i liczba pozycji na liście )

• facebook.com - 119,334
• allegro.pl - 88,282
• gov.pl - 44,385
• poczta.onet.pl - 28,747
• poczta.wp.pl - 12,056
• x-kom.pl - 10,761
• mbank.pl - 10,140
• morele.net - 2,672
• ingbank.pl - 1,227

To tylko wybrane przykłady domen, które ilustrują skalę bazy danych. Na liście znajduje się tysiące innych domen.

Pochodzenie danych

Zgodnie z formatem danych, opublikowany plik wskazuje jednoznacznie na źródło w postaci złośliwego oprogramowania, zwanej "stealerem". Ten rodzaj złośliwego oprogramowania infekuje komputery i pobiera z nich wszystkie zapisane w przeglądarce hasła i loginy, przekazując je twórcom. Dane pozyskane w ten sposób stanowią cenny towar na czarnym rynku przestępczym. Rzadko jednak są publikowane masowo i za darmo, co czyni ten incydent wyjątkowym.

Niestety, trudno jest określić dokładny wiek ujawnionych informacji. W bazie danych można znaleźć hasła zawierające ciąg "2023", co sugeruje, że przynajmniej część danych jest aktualna. Warto jednak zauważyć, że ze względu na pochodzenie danych nie można jednoznacznie określić liczby ofiar. Zazwyczaj z jednego zainfekowanego komputera może wyciec kilkanaście do kilkudziesięciu rekordów. Przeszukiwanie bazy danych wskazuje na istnienie ofiar, których dane są powiązane z kilkudziesięcioma kontami w różnych serwisach. Ze względu na brak jednolitego formatowania danych, trudno jest oszacować liczbę osób dotkniętych tym incydentem, ale można przypuszczać, że przekracza ona 100,000 osób.

Czy moje dane znajdują się w tej bazie

Dobrze, że dane zostały już uwzględnione w serwisie Have I Been Pwned, co umożliwia sprawdzenie, czy nasze adresy e-mail są uwzględnione w ujawnionych danych.

Ciekawy temat, oby dotarł najdalej jak się da.

Ponoć legenda głosi że w samych hasłach jest ukryta przepowiednia, a właściciele kont celowo opublikowali swoje dane i współpracują z elitą masteringu.

Wiele z tych hasłem są kontami do firm i dostawców sprzętu jak i samych kupujących w internecie.

Serwisy jak orange,play,t-mobile,paysafecard,paypall i jak DHL czy mnóstwo innych servisów jak np. logowanie aministratorów, hostów czy maleńkich jednostek jak graczy w lola,metina,tibie, i innych.

Samych hasłes nie da się odszyfrować bo więkrzość są użyte przed ich publikacją w celach doświadczalnych i eksperymentalnych ale osobiście byłem wczoraj na Tor i sprawdziłem kilka z nich jak mbank,paypall,paysafecard,orange,play,tibia,dhl,hostingi,konta użytkowników w servisach sklepów online. Sami właściciele nie mają skąd sie dowiedzieć że ich dane wzięto do eksperymentu, ale gdy mają za dużo pieniędzy to zapominają i tak kim są i dla czego tu jesteśmy na ziemi.  Treść postu jest opinią tylko jednego pliku bo istenieje durga cześć i zawiera mniej danych.