Gigantyczny wyciek danych. Zdjęcia całych dowodów osobistych, paszportów i legitymacji

Doszło do poważnego wycieku danych osobowych Polaków. Zdjęcia dowodów osobistych wraz z fotografiami twarzy ich właścicieli były dostępne do swobodnego pobrania na popularnym serwisie hostingowym. Jak informuje CyberDefence24, wszystko wskazuje na to, iż działanie miało związek z oszustwami kryptowalutowymi. O incydencie zostały poinformowane odpowiednie służby.

Fot. Warszawa w Pigułce

Jak doszło do wycieku danych?

6 maja 2024 roku użytkownik posługujący się nickiem „Dark_MoneyMaker” opublikował na jednym z hakerskich forów link do archiwum zawierającego wrażliwe dane polskich obywateli. Plik zawierał 124 katalogi, z których niemal każdy był nazwany zgodnie z nazwiskiem osoby, której dane zostały wykradzione. Co istotne, archiwum było dostępne do pobrania bez jakiejkolwiek weryfikacji tożsamości czy uwierzytelniania.

Nazwa samego archiwum – „DO+selfie” – sugeruje, iż osoba odpowiedzialna za wyciek posługiwała się językiem polskim, używając skrótu „DO” od „dowody osobiste”. Przypuszczenie to potwierdzają również polskie dopiski przy nazwach niektórych katalogów, takie jak „doktor”, „brzydka” czy „agent”.

Zawartość wykradzionych danych

Katalogi zawierały przede wszystkim komplety dokumentów składające się ze zdjęć twarzy użytkowników oraz obu stron ich dowodów osobistych. Według informacji przekazanych przez CyberDefence24, zdecydowana większość dokumentów to wciąż ważne dowody osobiste. Data utworzenia plików wskazuje na styczeń 2024 roku, choć prawdopodobnie same zdjęcia zostały wykonane pod koniec 2023 roku.

W archiwum odnaleziono również inne typy dokumentów, w tym:

• legitymacje studenckie
• karty Europejskiego Ubezpieczenia Zdrowotnego
• holenderski dowód rejestracyjny pojazdu
• białoruskie paszporty
• nieposortowane dowody osobiste

Szczególnie niepokojący jest fakt, iż ponad połowę ze 108 elementów w jednym z katalogów stanowiły polskie dowody osobiste.

Powiązanie z oszustwami kryptowalutowymi

Analiza wykradzionych danych ujawniła szczególnie niepokojące znaleziska. W plikach odnaleziono tzw. seed phrase do portfeli kryptowalutowych – unikalne frazy składające się z 12 słów, które stanowią zabezpieczenie dostępu do środków zgromadzonych w kryptowalutach. CyberDefence24 informuje, iż udało się odnaleźć co najmniej trzy zdjęcia zawierające takie dane.

Wśród plików znajdowały się również dokumenty tekstowe zawierające adresy e-mail oraz adresy Ethereum (kryptowaluty). Odkryto także dane logowania do serwerów SOCKS5 proxy, wraz z adresami IP i numerami portów. Serwery te były zlokalizowane w Holandii.

Jednym z najbardziej niepokojących elementów było zdjęcie starszej osoby trzymającej w ręku kartkę – typowy format wykorzystywany przy weryfikacji tożsamości na platformach kryptowalutowych.

Szybka reakcja na zgłoszenie

Po odkryciu wycieku, CyberDefence24 niezwłocznie skontaktował się z firmą hostingową, wnioskując o usunięcie dostępu do archiwum. Reakcja była błyskawiczna – link przestał działać w ciągu zaledwie dziewięciu minut od zgłoszenia. Hosting poinformował również, iż konto odpowiedzialne za publikację danych zostało zamknięte.

Jednocześnie o zdarzeniu zostały powiadomione CERT Polska (zespół reagowania na incydenty komputerowe) oraz Centralne Biuro Zwalczania Cyberprzestępczości. Sprawa jest w tej chwili przedmiotem dalszego dochodzenia.

Zalecenia dla użytkowników

Eksperci radzą, by zachować szczególną czujność wobec ofert obiecujących wysokie zyski z inwestycji w kryptowaluty, szczególnie jeżeli wymagają one przesłania zdjęć dokumentów tożsamości. W przypadku napotkania takich żądań warto zgłosić sprawę odpowiednim służbom.

Co zrobić w przypadku podejrzenia wycieku danych osobowych?

Specjaliści ds. cyberbezpieczeństwa zalecają podjęcie następujących kroków w przypadku podejrzenia, iż nasze dane osobowe mogły zostać wykradzione:

• Zastrzeżenie numeru PESEL – Jest to jedna z najważniejszych czynności zabezpieczających. Od 17 listopada 2023 roku każdy Polak może zastrzec swój numer PESEL przez aplikację mObywatel, przez stronę gov.pl lub osobiście w urzędzie gminy. Zastrzeżenie PESEL uniemożliwia zaciągnięcie kredytu, pożyczki czy podpisanie umowy z operatorem telekomunikacyjnym w naszym imieniu.
• Założenie alertu BIK – Biuro Informacji Kredytowej oferuje usługę powiadamiania SMS-em o każdej próbie wykorzystania naszych danych do zaciągnięcia zobowiązania finansowego. To dodatkowe zabezpieczenie przed wyłudzeniami na nasze dane.
• Zmiana haseł – jeżeli istnieje podejrzenie, iż dane logowania do różnych serwisów mogły zostać przejęte, należy niezwłocznie zmienić hasła, zwłaszcza do bankowości elektronicznej i poczty e-mail.
• Zgłoszenie incydentu odpowiednim służbom – W Polsce można zgłosić naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych oraz do CERT Polska przez stronę incydent.cert.pl.
• Monitorowanie aktywności – Warto regularnie sprawdzać historię transakcji bankowych i kredytowych oraz uważnie analizować otrzymywane faktury i powiadomienia o umowach.
• Zachowanie dowodów – jeżeli padliśmy ofiarą oszustwa, należy zachować wszystkie dowody, takie jak korespondencja e-mail, screenshoty stron czy numery kont, na które zostały przekazane środki.

Przypadek ten pokazuje również, jak ważne jest zgłaszanie szkodliwych treści w internecie. Choć skuteczność takich działań zależy od konkretnej platformy, szybka reakcja hostingodawcy w tej sprawie dowodzi, iż aktywne przeciwdziałanie cyberprzestępczości może przynosić pozytywne rezultaty.