Stworzenie serwisu informującego o wyciekach danych osobowych z wielu powodów, głównie prawnych, nie jest proste. Jak się jednak okazuje można jednak nie tylko ignorować obowiązujące przepisy, ale także oszukiwać swoich klientów.
Na świecie funkcjonuje kilka serwisów udostępniających informacje o tym, czy dany adres email znalazł się już w opublikowanych wyciekach danych. Najbardziej znany i wiarygodny to HaveIBeenPwned.com, prowadzony w etyczny sposób przez wiarygodnego autora. W Polsce jak do tej pory nikt nie pokusił się o próbę uruchomienia analogicznej usługi – przeszkody prawne są zbyt duże, by miało to sens. Z tym większą ciekawością przyjrzeliśmy się nowemu serwisowi DanePersonalne.pl a to, co odkryliśmy, wcale nas nie zaskoczyło.
Tajemniczy wyciek
Jeden z naszych Czytelników natrafił w swojej pracy na ciekawego emaila z adresu biuro@danepersonalne.pl. Wyglądał on tak:
Mam dla Pani/Pana bardzo złą wiadomość. Otóż nasz system bezpieczeństwa wykrył, iż ten adres e-mail wraz z innymi danymi osobowymi wyciekł z bazy danych sklepu internetowego. Poszkodowanych jest około 26801 osób w tym Pani/Pan. Jest duże prawdopodobieństwo, że dane mogą być rozpowszechniane lub sprzedawane innym firmom.
W związku z powyższym osoby zainteresowane wyciekiem i analizą swoich danych osobowych prosimy o kontakt, pod adresem analiza@danepersonalne.pl
Pomożemy usunąć dane z internetu, powiemy, jakie dokładnie dane wyciekły do sieci oraz przekażemy kilka zasad, aby więcej do takich sytuacji nie dochodziło.
Tymczasem zalecamy zmienić wszystkie hasła i nie zapisywać ich w pamięci przeglądarki.
Pozdrawiamy,
DanePersonalne.pl
Wiadomość na pierwszy rzut oka wygląda podejrzanie. „Około 26801 osób”? Bez podania nazwy sklepu, z którego rzekomo doszło do wycieku? Bez podpisu nadawcy? W takich sprawach długo nas prosić nie trzeba, dlatego zabraliśmy się do analizy.
Podejrzana witryna
Strona DanePersonalne.pl wygląda następująco:
- Nie znajdziemy na niej żadnych danych firm lub osób ją tworzących, a jedyne dane kontaktowe to adresy email w tej samej domenie.
- Lista „wycieków”, które rzekomo przetwarza, wskazuje na dużą znajomość polskiego rynku, szczególnie serwisów w sieci Tor, lecz nie ma zbyt wiele wspólnego z rzeczywistością – w przypadkach wielu z wymienionych firm do wycieków w rzeczywistości nie doszło.
- Strona zawiera fałszywe opinie rzekomych klientów
- Dzięki DanePersonalne.pl zauważyłem, że moje dane wyciekły podczas ataku na Adobe. Sporo ludzi korzysta z usług tej firmy, więc radzę Wam sprawdzić, czy Wasze dane są bezpieczne.
- Ostatnio straciłam dostęp do kilku skrzynek pocztowych. W pierwszej chwili byłam w ciężkim szoku, ponieważ staram się używać wszędzie innych haseł, a tu proszę wyciek w gmailu…
- Posiadałem pożyczkę w firmie „Wonga”. Nigdy bym nie przypuszczał, że ta firma może stanąć na celowniku przestępców. Zablokowałem wszystkie dokumenty zaraz po tym, jak się o tym dowiedziałem. Teraz mam spokojną głowę, że nikt na mnie nie weźmie kredytu.
- Dzięki Wam ja i moja rodzina często zmieniamy hasła do kont i śledzimy wycieki na bieżąco. Kiedyś nigdy bym nie pomyślał, że aż tyle jest wycieków… Polecam wszystkim śledzić danepersonalne.pl
- W przypadku próby sprawdzenia jakichkolwiek danych witryna nie przekazuje odpowiedzi, a jedynie prośbę o wpłacenie 5 PLN na wskazany nr konta 45 1050 1243 1000 0091 0978 6450. Witryna nie podaje danych posiadacza konta.
Ostateczny dowód oszustwa
Aby nie rzucać jednak oskarżeń na wiatr postanowiliśmy sami na sobie sprawdzić rzetelność jej twórców. Na adres kontaktowy wysłaliśmy takiego oto emaila:
Witam
DOstaje ciagle jakies wiadomosci i nie wiem gdzie wyciekl moj adres moze mozecie pomoc? Chcialbym ich pozwac
Tomek
Dość szybko przyszła odpowiedź o treści:
Witam Pana,Wstępnie analizując wyciek możemy stwierdzić, iż Pana adres email znajduje się w 3 bazach danych. W pierwszej kolejności radzimy zmianę haseł. Ze wzgledu na bardzo dużą ilość zgłoszeń, tylko tyle na ten moment udało nam się dowiedzieć. Możemy przygotować dla Pana pełny raport, który bedzie zawierał informację takie jak: skąd nastąpił wyciek danych, w jakim mniej wiecej czasie do tego doszło, jakie dane mogą być zagrożone, pomoc w ich usunieciu z internetu oraz wszelkie informacje, które otrzymamy po analizie.Czy jest Pan zainteresowany?Pozdrawiamy,
Wszystko wygląda dobrze, jest tylko jeden problem. Konto, z którego wysłaliśmy zapytanie, utworzyliśmy kilka minut wcześniej (i zadbaliśmy o to, by jego nazwa była unikalna) i mimo tego, że żyjemy w szalonych czasach, to szansa, że w ciągu tych 5 minut trafiło ono do 3 baz danych a następnie z nich wyciekło, jest raczej niewielka. Postanowiliśmy jednak ciągnąć całą zabawę i odpisaliśmy, że poprosimy o pełen raport. Kolejna odpowiedź brzmiała:
Witam,Koszta raporu to 10zl, w cenie możemy sprawdzić adresy email Pana domowników, ponieważ jest duże prawdopodobieństwo, że komputer mógł być/jest zainfekowany.Raport otrzyma Pan w ciagu 24h od zaksięgowania przelewu/wysłania potwierdzenia przelewu.Pozdrawiamy,
W kolejnym emailu dostaliśmy ten sam nr rachunku, który można znaleźć na stronie. Wysłaliśmy zatem przelew i czekaliśmy na wyniki. Po parunastu godzinach dotarły.
Raport dla adresu email „tu nasz fałszywy adres”
Pochodzenie – Adobe
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasło, państwo, data urodzenia
Data w bazie – October 2017Pochodzenie – Spam list
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email
Data w bazie – nieznanaDane, które zostały utracone w wyniku powyższych wycieków nie są wrażliwe. Jedyne, z czym może się Pan zmagać to spam.
Zalecenia:
W Pana przypadku zmiana wszystkich haseł powinna wystarczyć. Odnośnie spamu zalecamy blokowanie adresów email, z których otrzymuje Pan wiadomości.
Podanego przez nas adresu nie było w bazie Adobe, a sama baza nie wyciekła w październiku 2017. Nie zgadza się także liczba baz (3) podana w pierwszym emailu.
Przy okazji poprosiliśmy także o sprawdzenie adresu, który figurował w kilku bazach i faktycznie był wykradziony. Tu wyniki były wiarygodne:
Raport dla adresu email „prawdziwy adres”
Pochodzenie – Anti Public Combo List
Dane, które mogły zostać wykradzione – adres email, hasło
Data w bazie – grudzień 2016Pochodzenie – iMesh
Dane, które mogły zostać wykradzione – adres email, adres IP, hasło, nazwa użytkownika
Data w bazie – połowa 2016Pochodzenie – LinkedIn
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasło
Data w bazie – maj 2016Pochodzenie – Onliner Spambot
Dane, które mogły zostać wykradzione – adres email, hasło
Data w bazie – sierpień 2017Zalecenia:
Zalecana jest natychmiastowa zmiana haseł we wszystkich serwisach.Usuneliśmy adres email z 4 list spamowych.
Dane z tej części raportu pochodzą wprost z serwisu HaveIBeenPwned.com, gdzie można je uzyskać gratis. Ciekawy jest też fragment o usuwaniu adresu z list spamowych – może to zrobić w zasadzie tylko ich właściciel…
Na koniec raportu jego twórcy zamieścili całkiem sensowne rekomendacje:
Zalecamy także używania różnych haseł do różnych serwisów.
Proszę nigdy nie zapisywać haseł w pamięci przeglądarki, ponieważ w łatwy sposób można je przejąć. W przypadku dużej ilości haseł wskazane jest używanie oprogramowania do zarządzania hasłami (np. KeePassa).
Nie zmienia to jednak faktu, że oszukują klientów i kłamią w swoich raportach, by wyłudzić 5 lub 10 PLN.
Co wiemy o autorach
Niestety niewiele. Sama domena została utworzona 2017.05.26, większość plików wgrana na serwer 9 września a certyfikat SSL został wystawiony 23 września. Około 25 października twórcy serwisu zaczęli jego promocję w lokalnych serwisach ogłoszeniowych.
W kodzie strony w jej wcześniejszej wersji zawarty był fragment:
<iframe frameborder="0" src="https://zbiornik.tv/go/sskL" style="width: 0px; height: 0px;"></iframe> <iframe frameborder="0" src="https://www.g2a.com/r/user-587d8d3c600f4" style="width: 0px; height: 0px;"></iframe>
który prawdopodobnie miał na celu nabijanie punktów w programach partnerskich tych serwisów. Sama strona hostowana jest na serwerze s19.mydevil.net, którego właściciele najwyraźniej się tym nie przejmują.
Osobnym wątkiem jest kwestia prawna. To temat tak obszerny, że nie wiemy nawet gdzie zacząć – czy od ochrony danych osobowych, które są przetwarzane z całkowitym zignorowaniem jakichkolwiek regulacji, czy o ustawie o świadczeniu usług droga elektroniczną (gdzie regulaminy itp.) aż po uzasadnione pretensje, które mogą mieć duże firmy z dużymi działami prawnymi, które zostały wymienione na liście wycieków, podczas kiedy do wycieków z nich nie doszło. To temat na osobny wpis (i pewnie w innym serwisie).
Dziękujemy anonimowemu Czytelnikowi za zgłoszenie sprawy a jeśli ktoś zna autora, to jego proszę pozdrowić, a nam podesłać namiary tego geniusza – chętnie się dowiemy, co nim kierowało.
Komentarze
Szybko działają: Nie odnaleziono adresu
Domena już jest dead.
Nie domena, a strona WWW. Domena nadal działa.
Nie trzeba było nawet sprawdzać przez zamawianie pseudoraportów. Już po samych numerach tel. widać, że trafiło na naciągacza (809172663, 809172661). Ten pierwszy prowadzi do stronki porno, która naciąga na kosztowne wiadomości.
Ktoś pomyślał, że małą łyżeczką lepiej się naje (małe kwoty).
Popsuliście Mu zabawę…
No cóż, przynajmniej uświadamia potencjalne ofiary jak należy się zachować.
Ja to czekam na wykwit sklepów internetowych na gwiazdkę i super promocje na iPhony i TV z rabatem 50%.
Chyba czas zacząć kampanię ostrzegawczą? :D
dla mnie to byl polski frontend do https://haveibeenpwned.com
kolesie liczyli na latwy zysk.
Podobnie w temacie: jest też pewien serwis oferujący raport ze sprawdzenia VIN pojazdu, który w moim przekonaniu opiera swój biznes-model również na elemencie baśniowym – farmazonie.
:>
MyDevil.net jak zawsze szybko i sprawnie zareagowało.
„Sama strona hostowana jest na serwerze s19.mydevil.net, którego właściciele najwyraźniej się tym nie przejmują.” – to stwierdzenie jest akurat mało obiektywne i poszliście chyba na skróty.
Zgłoszenie zostało przekazane na kanale irc dwa tygodnie wcześniej, bez reakcji.
Do nich się piszę na email’a. Mi odpowiadają max do 24h ale zazwyczaj jest to 2-3h.
Wasza analiza jest ok i sprawa jest raczej oczywista ale z tego co mi wiadomo to firma hostingowa – w tym przypadku mydevil.net nie odpowiada za treści jakie zamieszczają na swoich konta jej klienci. Ich ewentualne usunięcie musi mieć jakieś umocowanie prawne, bo inaczej to po prostu zaczynamy się bawić w „szeryfów internetu” a chyba nie tędy droga.
Inna sprawa, że sami zawsze radzicie najlepszy kontakt w tego typu sprawach – szyfrowany mail a tutaj 'przekazane na kanale irc’ – słabo.
Gdzie radzimy szyfrowane emaile do przekazywania informacji o nadużyciach do hostowni?
No dobra, skoro tak trudno GPG sign/encrypt, to niech będzie chociaż zwykły mail – ale to jest przecież nic nie znaczący szczegół. Albo dyskutujemy poważnie i odnosimy się do całości albo się czepiamy szczegółów.
Rozumiem, że też wolicie aby ktoś bąknął coś na IRCu a po dwóch tygodniach obwieścił światu, że macie wszystko gdzieś?
Pytanie pozostaje nadal otwarte czy taka analiza (jak najbardziej słuszna i rzetelna) jest podstawą do tego aby firma hostingowa wyłączyła/zawiesiła komuś konto? Ja się na prawie niestety nie znam ale jeżeli się nie mylę, to może to być po prostu za mało.
Mimo tego, że netykieta zabrania publikować logi z tak małego kanału, to muszę, bo wydaje mi się, że przekręcasz sytuację:
czesc na s19 ktos postawil danepersonalne.pl, sprzedaje dane za 5 zl to zalicza sie pod kodeks karny wiec zglaszam jako abuse no chyba, ze lubicie kontakt z policja dodam tez ze w zrodle strony jest iframe 0:0 na zbiornik.tv i g2com po ch*j nie wiem
dotdll is now known as linc0ln
(…)
linc0ln: nie boimy sie kontaktow z policja, jezeli zgloszenie jest prawidlowe do wydamy dane
obecnie patrze pod co to podpada i czy mamy prawo to zablokowac
linc0ln: nie za bardzo widze jakie tutaj dane lamiace prawo sa u na przechowywane, jezeli jakies sa: nie wiem jakie bo ich nie widze. Jezeli otrzymamy wiarygodne zgloszenie lub urzedowe zawiadomienie o bezprawnym charakterze przetrzymywanych u nas danych to bedziemy od razu blokowac i powiadamiac uzytkownika.
dotdll/linc0ln – Z3S
Mixer – MyDevil
I wycinek z tematu kanału:
Topic for #mydevil is „Nieoficjalny kanał MyDevil.net. Oficjalne zgłoszenia/pomoc techniczna → https://www.mydevil.net/kontakt.html
Wystarczyło napisać e-mail. Nie sądzisz, że przesadzasz z „nie przejmują się”? MyDevil to jeden z większych i najszybciej rozwijających się polskich hostingów w Polsce, potrafią sobie z takimi sprawami radzić. Tego typu ataki niemal personalne nie służą nikomu i są średnio profesjonalne.
To ja napisałem na IRC o tym i jeden z adminów napisał, że sprawdzą ten temat więc wiadomość dotarła tak samo jakby dotarła przez e-mail a nawet szybciej bo był wieczór. A to, że czas sprawdzenia i zablokowania strony był taki a nie inny to nie wina środka przekazu tej informacji…
„Pomożemy usunąć dane z internetu”
Mają rozmach s… :)
bolec ogłoszenia?:D