Potężny atak na polskie biuro podróży. Ministerstwo Cyfryzacji potwierdza, wyciekły dane klientów

Polska mierzy się z atakami hakerskimi

Atak na popularne biuro podróży to niestety tylko symptom znacznie szerszego i pogłębiającego się problemu. Cyberbezpieczeństwo w Polsce jest codziennie wystawiane na ciężką próbę. Z najnowszego raportu rocznego zespołu CERT Polska, działającego w strukturach państwowego instytutu badawczego NASK, wyłania się ponury obraz.

W 2023 roku analitycy obsłużyli ponad 80 tysięcy unikalnych incydentów bezpieczeństwa. To o ponad 100 proc. więcej niż rok wcześniej, co pokazuje nie tylko skalę, ale i dynamikę wzrostu zagrożeń. Co istotne, dane te potwierdzają również firmy z sektora prywatnego. Zgodnie z badaniami, aż 83 proc. firm w Polsce doświadczyło w ubiegłym roku przynajmniej jednej próby cyberataku, a ponad połowa odnotowała skuteczne włamanie. Dawno minęły czasy, gdy haker był postrzegany jako genialny odludek łamiący skomplikowane szyfry. Dziś cyberprzestępczość to zorganizowany biznes, który stawia przede wszystkim na inżynierię społeczną, czyli manipulację psychologiczną.

Zdecydowana większość, bo blisko 95 proc. wszystkich incydentów zgłaszanych do CERT Polska, to różnego rodzaju oszustwa komputerowe, z phishingiem na czele. Polega on na wyłudzaniu danych logowania lub osobowych poprzez podszywanie się pod zaufane instytucje, takie jak banki, firmy kurierskie czy właśnie biura podróży. Przestępcy nie gardzą też ransomware (oprogramowaniem szyfrującym dane dla okupu). Ich ofiarami padają już nie tylko wielkie korporacje. Coraz częściej celem stają się szpitale, gdzie zaszyfrowanie danych pacjentów może stanowić zagrożenie życia, a także małe urzędy gmin czy lokalne przedsiębiorstwa, które często nie dysponują odpowiednimi budżetami na zabezpieczenia. To pokazuje, że w cyfrowym świecie nikt nie jest w pełni bezpieczny.

Co zrobić, gdy dane osobowe wyciekną?

Wiadomość o tym, że nasze dane znalazły się w niepowołanych rękach, zawsze budzi niepokój. Jednak w dzisiejszym świecie należy przyjąć, że nie jest to pytanie "czy", ale "kiedy" nasze dane gdzieś wyciekną. Kluczowa jest dlatego nie tylko prewencja, ale i świadomość, jak reagować. Fundamentem cyfrowej higieny pozostaje kwestia haseł. Nie chodzi jednak o mityczne "skomplikowane" hasło. Chodzi o hasła unikalne dla każdego serwisu.

Przestępcy po uzyskaniu bazy danych z jednego miejsca, natychmiast próbują tych samych loginów i haseł w bankach, mediach społecznościowych czy skrzynkach mailowych. To tak zwany "credential stuffing". Ręczne zarządzanie dziesiątkami unikalnych haseł jest niemożliwe, dlatego standardem powinny być menedżery haseł, które generują i bezpiecznie przechowują te dane. Drugim filarem jest uwierzytelnianie dwuskładnikowe (2FA), czyli dodatkowa warstwa ochrony poza hasłem. Najlepiej korzystać z dedykowanych aplikacji generujących kody (jak Google Authenticator czy Microsoft Authenticator), które są bezpieczniejsze niż kody wysyłane SMS-em, ze względu na ryzyko tak zwanego SIM-swappingu (kradzieży karty SIM).

Co jednak robić, gdy mleko już się wylało? Przede wszystkim, natychmiast zmienić hasło do serwisu, którego dotyczył incydent, oraz wszędzie tam, gdzie było ono podobne. Jeśli wyciekł numer PESEL lub dane dowodowe, należy natychmiast zastrzec dokumenty. Od niedawna można to zrobić wygodnie przez aplikację mObywatel lub w swoim banku. Warto też monitorować swoją historię kredytową w Biurze Informacji Kredytowej (BIK), aby upewnić się, że nikt nie próbuje zaciągnąć na nasze dane pożyczki. W przypadku Itaki, gdzie wyciekł "tylko" telefon i e-mail, najważniejsza staje się wzmożona czujność.

Zobacz: Już nie pańska skórka. Teraz tym handlują pod cmentarzami. Nowy trend zaskoczy Polaków

Popularne biuro podróży zaatakowane

Aby zrozumieć wagę tego incydentu, trzeba zdać sobie sprawę ze skali działania biura Itaka. To jeden z absolutnych liderów polskiego rynku turystycznego, obsługujący rocznie setki tysięcy klientów. Baza, która wyciekła, jest więc olbrzymia i stanowi dla przestępców prawdziwą żyłę złota. Spółka Nowa Itaka oficjalnie potwierdziła, że doszło do incydentu bezpieczeństwa. Podkreśliła, że atak dotyczył danych osobowych w postaci imienia, nazwiska, adresu e-mail oraz numeru telefonu. Jednocześnie uspokojono, że incydent nie objął danych wrażliwych, takich jak numery PESEL, dane dowodów osobistych czy paszportów, ani żadnych danych dotyczących płatności czy kart kredytowych.

To kluczowa informacja. Oznacza ona, że klienci biura nie muszą obawiać się natychmiastowego zaciągnięcia "chwilówki" na ich nazwisko czy wyczyszczenia konta bankowego. Na co więc przestępcom te, wydawałoby się, podstawowe informacje? Odpowiedź jest prosta: do przeprowadzenia znacznie bardziej wiarygodnych i spersonalizowanych ataków phishingowych oraz vishingowych (czyli phishingu głosowego). To jest prawdziwe ryzyko po wycieku z Itaki. Dysponując naszym imieniem, nazwiskiem i numerem telefonu, oszust dzwoniący jako rzekomy konsultant Itaki, banku czy firmy kurierskiej, brzmi znacznie bardziej wiarygodnie. Może powołać się na nieistniejącą rezerwację, problem z płatnością za wycieczkę czy konieczność dopłaty do biletu lotniczego.

Scenariuszy jest mnóstwo. Oszust może próbować wyłudzić dane logowania do bankowości (Proszę zalogować się przez link, który Panu wyślę, aby uiścić opłatę) lub nakłonić do zainstalowania złośliwego oprogramowania (Proszę pobrać naszą nową aplikację do biletów). Itaka, zgodnie z procedurami RODO (unijnego rozporządzenia o ochronie danych), zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz do zespołu CERT Polska. Spółka rozpoczęła też proces informowania poszkodowanych klientów. Dla tysięcy Polaków oznacza to jedno: konieczność włączenia trybu najwyższej czujności. Każdy e-mail i telefon rzekomo od Itaki należy teraz traktować z ekstremalną podejrzliwością i weryfikować każdą prośbę, dzwoniąc samodzielnie na oficjalną infolinię biura.