czwartek, 29 stycznia 2026

Najgłośniejsze incydenty cyberbezpieczeństwa w Polsce i nie tylko – czego można się z nich nauczyć?

O sekuraku i securitum pisałam wielokrotnie, polecając ich wpisy na linkedin, szkolenia w ramach Akademii Securaka (bezpłatne  - chociaż warto wesprzeć określona kwotą), publikacje dotyczące „białego wywiadu”, itd. Polecam ich również podczas spotkań DigiStudo – cyklu prowadzonego w związku z projektem Digital Wizards. Chłopaki – Michał Sajdak i Tomek Turba - są niezwykle kompetentni w dziedzinie cyberbezpieczeństwa. Wyszukują rożnego rodzaju incydenty i opisują je, uświadamiając, jak wiele jeszcze musimy się nauczyć i - jak pisze Tomek -  mieć cały czas włączone Deep Reasoning. 
Ponieważ nie wszyscy są wielbicielami linkedin, przytoczę najciekawsze, moim zdaniem, przypadki naruszeń cyberbezpieczeństwa:
  • Wielkopolskie Centrum Medycyny Pracy - zmieniając w przeglądarce numer ID, można było zobaczyć wyniki badań innych pacjentów.
  • Przejęto konto lekarza w aplikacji Medfile - wyciekły dane pacjentów - imię, nazwisko, płeć, adres, PESEL, numer telefonu, dane medyczne; atakujący wygenerował po 1-2 recepty na środki narkotyczne na dane ok. 30 osób.
  • Podstawiona sieć wifi na lotnisku - atakujący wykorzystywał urządzenie WiFi Pineapple i wykradał dane logowania. 
  • Dziura w AI-owej przeglądarce Comet od Perplexity – dzięki niej można wykasować zawartość Google Drive ofiary.
  • Atak hakerski na serwery spółki Dom Development - nieuprawnione pobranie danych: imię, nazwisko, adres, dane dotycząc dowodu, PESEL, numer rachunku bankowego, adres mailowy, numer telefonu, stan cywilny, numer księgi wieczystej, informacja o prowadzonej działalności gospodarczej, wysokość zadłużenia, dane dotyczące roszczeń, dane dotyczące transakcji i zakupionych produktów,  NIP, wynagrodzenie, informacje nt. członków rodziny, w tym data urodzenia.
  • Lewa apka podszywająca się pod bank Pekao, reklamująca się jako "klucz bezpieczeństwa Pekao" - appka instaluje "dodatkowy komponent", który prawdopodobnie daje atakującym zdalny dostęp do telefonu (przez VNC). Atak działa tylko na Androidy.
  • Podatność Chrome’a na atak 0day – konieczność zaktualizowania przeglądarki.
    • Najnowsza wersja: 143.0.7499.109/.110 Windows/Mac, 143.0.7499.109 Linux.
  • Włamanie do konta pracownika sklepu internetowego WK DZIK – wyciek danych (ok 125000 rekordów), w tym e-maile / adresy dostawy / imiona i nazwiska / nr telefonów. Atakujący wystawił je na sprzedaż. 
    • Uwaga: W serwisie bezpiecznedane gov pl można sprawdzić, czy nasze dane zostały wykradzione.
  • Włamanie się do kilku skrzynek pocztowych pracowników Urzędu Zamówień Publicznych – wyciek danych.
  • Włamanie do systemu rezerwacji Schroniska Murowaniec - wyciek danych osobowych.
  • Włamanie do polskiego systemu obsługującego hotele / wille / obiekty hotelowe [KWHotel] - atakujący posiadając dane rezerwacji ofiar, wysyłają za pomocą WhatsApp / e-mail fałszywe wiadomości, nakłaniające do podania danych kart płatniczych (pod pozorem potwierdzenia / anulowania rezerwacji).
  • Maile podszywającego się pod mBank – atakujący ominęli (bardzo dobre) filtry antyspamowe Google.  Sugerują konieczność "aktualizacji numeru telefonu".
  • Kolejne włamanie na konta lekarzy – tym razem na gabinet[.]gov[.]pl - i ponownie generowanie recept na środki narkotyczne. Przestępcy skorzystali z wycieków, dzięki którym pozyskali dane logowania. Były to na tyle wrażliwe dane, że mogli założyć konta bankowe na lekarzy. Umożliwiło to logowanie  „logowanie się bankiem" niezbędne w przypadku gabinetGOV. Dane osobowe lekarzy  miały posłużyć też do „wyłudzenia kredytu, ukrywania środków płatniczych pochodzących z korzyści związanych z popełnieniem czynu zabronionego".
  • Zhackowanie systemów portowych w Antwerpii - zadziałała socjotechnika – atakujący pracownika portu do umieszczenia pendrive’a w komputerze mającym dostęp do systemów portowych. Umożliwiło mu to „niewidoczne przerzucanie narkotyków" (dostęp do systemów umożliwiających kontrolę sterowania wejściem, info o rozkładzie kamer) po portach w Europie. Jak wyjaśnia Michał, pendrive mógł klawiaturą, bądź pracownik po prostu odpalił malware z pendrive (który mógł udawać np. prosty plik PDF).
  • Na koniec - temat ostatnio gorący - seria „włamań” do dzienników elektronicznych w polskich szkołach. Jednak, jak pisze Michał z sekuraka, sprawa jest im znana od dłuższego czasu, gdyż już kilka miesięcy temu otrzymali zgłoszenie o incydencie z dwóch krakowskich szkół. „Atakujący najczęściej wysyłają "dziwne wiadomości", czasem z linkami do wszystkich użytkowników (w szczególności uczniów).” Przyczyna:
    • Mega słabe hasła np. Barbara2026! Mimo wymaganej liczby różnorodnych znaków (małe / duże litery, znak specjalny) łatwo je złamać, korzystając z publicznych baz wycieków. Ludzie nagminne używają tego samego hasła w różnych serwisach. Gdy hasło wycieknie z jednego z nich – pojawia się problem. 
    • Zapisywanie danych logowania w przeglądarce, na komputerze w pracowni szkolnej.
    • Malware na komputerze, z którego loguje się nauczyciel (w pracowni szkolnej, prywatnie, na losowym publicznym komputerze na wycieczce, etc)
    • Brak weryfikacji dwuetapowej (2FA), a nawet brak świadomości że coś takiego w ogóle istnieje. I tu Michał przytacza słowa jednego z nauczycieli "2FA na librusie wymaga aplikacji na prywatnym telefonie i działa strasznie - po aktywacji trudno się zalogować a lekcja trwa tylko 45 minut”.
    • Wyjście nauczyciela na przerwę i pozostawienie komputera z zalogowanym Librusem".
Jak się bronić – ogólne zasady, które mogłyby zapobiec powyższym incydentom:

  • Skonfigurowanie 2FA (uwierzytelnianie dwuskładnikowe) - na kontach społecznościowych i skrzynki pocztowych.
  • Silne / unikalne hasło – najlepiej zdanie o długości kilkunastu znaków (Michał proponuje15+ znaków, np. 4-5 nieoczywistych słów sklejonych ze sobą)
  • Unikanie logowania się do swojego konta z publicznych / podejrzanych komputerów
  • Nie zapisywanie swoich danych logowania w przeglądarce na publicznych komputerach
  • Nie korzystanie z publicznych sieci WiFi (nie wszystkie są bezpieczne) oraz publicznych ładowarek USB (np. na lotnisku, w galerii, hotelu). Użycie takiego sprzętu może wiązać się z ryzykiem ataku tzw. juice jacking – przez port ładowania da się przesyłać nie tylko prąd, ale też dane. Uwaga: Jeśli jednak zdecydujecie się na przeglądanie stron łącząc sie z publicznym WiFi, nie podawajcie swoich prawdziwych danych logowania na stronach wyświetlanych po połączeniu (tzw. captive portal / akceptacja regulaminu)
  • Nie używanie cudzych pendrive’ów, szczególnie otrzymanych w formie „prezentu”.
  • Nie udzielanie kontroli nad przeglądarką (zalogowaną do maila / google drive / banku /...) agentowi, który na ślepo będzie wykonywać zewnętrzne polecenia.
  • Instalowanie apek bankowych tylko z linków umieszczonych na stronach banków, a innych też z pewnych źródeł.
  • Minimalizowanie liczby rozszerzeń w przeglądarce.
  • Zastrzeżenie umeru PESEL, co zapobiegnie ewentualnemu założeniu konta bankowego na nasze dane.
  • I  - moim zdanie najważniejsze – czujność wobec socjotechniki. Podstawa to krytyczne myślenie

To oczywiście nie wszystko, co ustrzeże nas przed nieprzyjemnymi niespodziankami. O reszcie możecie posłuchać na kanale Digital Wizards – projektu poświęconemu nie tylko cyberbezpieczeństwu, ale i AI, higienie cyfrowej i marketingowi cyfrowemu. 

#Cyberbezpieczeństwo #Sekurak #Securitum #BezpieczeństwoDanych #Phishing #CyberEdu #EdukacjaCyfrowa #DigitalWizards

Brak komentarzy:
Subskrybuj: Komentarze (Atom)