Jak serwis DanePersonalne.pl łamie prawo i oszukuje swoich klientów

dodał 11 listopada 2017 o 20:58 w kategorii Wpadki  z tagami:
Jak serwis DanePersonalne.pl łamie prawo i oszukuje swoich klientów

Stworzenie serwisu informującego o wyciekach danych osobowych z wielu powodów, głównie prawnych, nie jest proste. Jak się jednak okazuje można jednak nie tylko ignorować obowiązujące przepisy, ale także oszukiwać swoich klientów.

Na świecie funkcjonuje kilka serwisów udostępniających informacje o tym, czy dany adres email znalazł się już w opublikowanych wyciekach danych. Najbardziej znany i wiarygodny to HaveIBeenPwned.com, prowadzony w etyczny sposób przez wiarygodnego autora. W Polsce jak do tej pory nikt nie pokusił się o próbę uruchomienia analogicznej usługi – przeszkody prawne są zbyt duże, by miało to sens. Z tym większą ciekawością przyjrzeliśmy się nowemu serwisowi DanePersonalne.pl a to, co odkryliśmy, wcale nas nie zaskoczyło.

Tajemniczy wyciek

Jeden z naszych Czytelników natrafił w swojej pracy na ciekawego emaila z adresu biuro@danepersonalne.pl. Wyglądał on tak:

Witam adres_email_pracownika@domena.pl
Mam dla Pani/Pana bardzo złą wiadomość. Otóż nasz system bezpieczeństwa wykrył, iż ten adres e-mail wraz z innymi danymi osobowymi wyciekł z bazy danych sklepu internetowego. Poszkodowanych jest około 26801 osób w tym Pani/Pan. Jest duże prawdopodobieństwo, że dane mogą być rozpowszechniane lub sprzedawane innym firmom.
W związku z powyższym osoby zainteresowane wyciekiem i analizą swoich danych osobowych prosimy o kontakt, pod adresem analiza@danepersonalne.pl
Pomożemy usunąć dane z internetu, powiemy, jakie dokładnie dane wyciekły do sieci oraz przekażemy kilka zasad, aby więcej do takich sytuacji nie dochodziło.
Tymczasem zalecamy zmienić wszystkie hasła i nie zapisywać ich w pamięci przeglądarki.
Pozdrawiamy,
DanePersonalne.pl

Wiadomość na pierwszy rzut oka wygląda podejrzanie. „Około 26801 osób”? Bez podania nazwy sklepu, z którego rzekomo doszło do wycieku? Bez podpisu nadawcy? W takich sprawach długo nas prosić nie trzeba, dlatego zabraliśmy się do analizy.

Podejrzana witryna

Strona DanePersonalne.pl wygląda następująco:

Jest mocno podejrzana z wielu powodów:
  1. Nie znajdziemy na niej żadnych danych firm lub osób ją tworzących, a jedyne dane kontaktowe to adresy email w tej samej domenie.
  2. Lista „wycieków”, które rzekomo przetwarza, wskazuje na dużą znajomość polskiego rynku, szczególnie serwisów w sieci Tor, lecz nie ma zbyt wiele wspólnego z rzeczywistością – w przypadkach wielu z wymienionych firm do wycieków w rzeczywistości nie doszło.
  3. Strona zawiera fałszywe opinie rzekomych klientów
    • Dzięki DanePersonalne.pl zauważyłem, że moje dane wyciekły podczas ataku na Adobe. Sporo ludzi korzysta z usług tej firmy, więc radzę Wam sprawdzić, czy Wasze dane są bezpieczne.
    • Ostatnio straciłam dostęp do kilku skrzynek pocztowych. W pierwszej chwili byłam w ciężkim szoku, ponieważ staram się używać wszędzie innych haseł, a tu proszę wyciek w gmailu…
    • Posiadałem pożyczkę w firmie „Wonga”. Nigdy bym nie przypuszczał, że ta firma może stanąć na celowniku przestępców. Zablokowałem wszystkie dokumenty zaraz po tym, jak się o tym dowiedziałem. Teraz mam spokojną głowę, że nikt na mnie nie weźmie kredytu.
    • Dzięki Wam ja i moja rodzina często zmieniamy hasła do kont i śledzimy wycieki na bieżąco. Kiedyś nigdy bym nie pomyślał, że aż tyle jest wycieków… Polecam wszystkim śledzić danepersonalne.pl
  4. W przypadku próby sprawdzenia jakichkolwiek danych witryna nie przekazuje odpowiedzi, a jedynie prośbę o wpłacenie 5 PLN na wskazany nr konta 45 1050 1243 1000 0091 0978 6450. Witryna nie podaje danych posiadacza konta.

Ostateczny dowód oszustwa

Aby nie rzucać jednak oskarżeń na wiatr postanowiliśmy sami na sobie sprawdzić rzetelność jej twórców. Na adres kontaktowy wysłaliśmy takiego oto emaila:

Witam
DOstaje ciagle jakies wiadomosci i nie wiem gdzie wyciekl moj adres moze mozecie pomoc? Chcialbym ich pozwac
Tomek

Dość szybko przyszła odpowiedź o treści:

Witam Pana,
Wstępnie analizując wyciek możemy stwierdzić, iż Pana adres email znajduje się w 3 bazach danych. W pierwszej kolejności radzimy zmianę haseł. Ze wzgledu na bardzo dużą ilość zgłoszeń, tylko tyle na ten moment udało nam się dowiedzieć. Możemy przygotować dla Pana pełny raport, który bedzie zawierał informację takie jak: skąd nastąpił wyciek danych, w jakim mniej wiecej czasie do tego doszło, jakie dane mogą być zagrożone, pomoc w ich usunieciu z internetu oraz wszelkie informacje, które otrzymamy po analizie.
Czy jest Pan zainteresowany?
Pozdrawiamy,
DanePersonalne.pl

Wszystko wygląda dobrze, jest tylko jeden problem. Konto, z którego wysłaliśmy zapytanie, utworzyliśmy kilka minut wcześniej (i zadbaliśmy o to, by jego nazwa była unikalna) i mimo tego, że żyjemy w szalonych czasach, to szansa, że w ciągu tych 5 minut trafiło ono do 3 baz danych a następnie z nich wyciekło, jest raczej niewielka. Postanowiliśmy jednak ciągnąć całą zabawę i odpisaliśmy, że poprosimy o pełen raport. Kolejna odpowiedź brzmiała:

Witam,
Koszta raporu to 10zl, w cenie możemy sprawdzić adresy email Pana domowników, ponieważ jest duże prawdopodobieństwo, że komputer mógł być/jest zainfekowany.
Raport otrzyma Pan w ciagu 24h od zaksięgowania przelewu/wysłania potwierdzenia przelewu.
Pozdrawiamy,
DanePersonalne.pl

W kolejnym emailu dostaliśmy ten sam nr rachunku, który można znaleźć na stronie. Wysłaliśmy zatem przelew i czekaliśmy na wyniki. Po parunastu godzinach dotarły.

Raport dla adresu email „tu nasz fałszywy adres”

Pochodzenie – Adobe
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasło, państwo, data urodzenia
Data w bazie – October 2017

Pochodzenie – Spam list
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email
Data w bazie – nieznana

Dane, które zostały utracone w wyniku powyższych wycieków nie są wrażliwe. Jedyne, z czym może się Pan zmagać to spam.

Zalecenia:
W Pana przypadku zmiana wszystkich haseł powinna wystarczyć. Odnośnie spamu zalecamy blokowanie adresów email, z których otrzymuje Pan wiadomości.

Podanego przez nas adresu nie było w bazie Adobe, a sama baza nie wyciekła w październiku 2017. Nie zgadza się także liczba baz (3) podana w pierwszym emailu.

Przy okazji poprosiliśmy także o sprawdzenie adresu, który figurował w kilku bazach i faktycznie był wykradziony. Tu wyniki były wiarygodne:

Raport dla adresu email „prawdziwy adres”

Pochodzenie – Anti Public Combo List
Dane, które mogły zostać wykradzione – adres email, hasło
Data w bazie – grudzień 2016

Pochodzenie – iMesh
Dane, które mogły zostać wykradzione – adres email, adres IP, hasło, nazwa użytkownika
Data w bazie – połowa 2016

Pochodzenie – LinkedIn
Dane, które mogły zostać wykradzione – imię, nazwisko, adres email, hasło
Data w bazie – maj 2016

Pochodzenie – Onliner Spambot
Dane, które mogły zostać wykradzione – adres email, hasło
Data w bazie – sierpień 2017

Zalecenia:
Zalecana jest natychmiastowa zmiana haseł we wszystkich serwisach.

Usuneliśmy adres email z 4 list spamowych.

Dane z tej części raportu pochodzą wprost z serwisu HaveIBeenPwned.com, gdzie można je uzyskać gratis. Ciekawy jest też fragment o usuwaniu adresu z list spamowych – może to zrobić w zasadzie tylko ich właściciel…

Na koniec raportu jego twórcy zamieścili całkiem sensowne rekomendacje:

Zalecamy także używania różnych haseł do różnych serwisów.
Proszę nigdy nie zapisywać haseł w pamięci przeglądarki, ponieważ w łatwy sposób można je przejąć. W przypadku dużej ilości haseł wskazane jest używanie oprogramowania do zarządzania hasłami (np. KeePassa).

Nie zmienia to jednak faktu, że oszukują klientów i kłamią w swoich raportach, by wyłudzić 5 lub 10 PLN.

Co wiemy o autorach

Niestety niewiele. Sama domena została utworzona 2017.05.26, większość plików wgrana na serwer 9 września a certyfikat SSL został wystawiony 23 września. Około 25 października twórcy serwisu zaczęli jego promocję w lokalnych serwisach ogłoszeniowych.

Oferujemy analizę, czy Państwa dane personalne nie wyciekły do internetu między innymi z Rządowej bazy PESEL, Wonga, Gmail, Orange, Play, Plus Bank, INEA, Netia, Sony, InPost… A to dopiero wierzchołek góry lodowej, ponieważ stron, które utraciły swoje dane, jest wiele więcej i nie każda się do tego przyznaje. Pamiętaj, że za pomocą skradzionych danych można wziąć kredyt, podpisać umowy itd. Dlatego nie warto ryzykować!

W kodzie strony w jej wcześniejszej wersji zawarty był fragment:

który prawdopodobnie miał na celu nabijanie punktów w programach partnerskich tych serwisów. Sama strona hostowana jest na serwerze s19.mydevil.net, którego właściciele najwyraźniej się tym nie przejmują.

Osobnym wątkiem jest kwestia prawna. To temat tak obszerny, że nie wiemy nawet gdzie zacząć – czy od ochrony danych osobowych, które są przetwarzane z całkowitym zignorowaniem jakichkolwiek regulacji, czy o ustawie o świadczeniu usług droga elektroniczną (gdzie regulaminy itp.) aż po uzasadnione pretensje, które mogą mieć duże firmy z dużymi działami prawnymi, które zostały wymienione na liście wycieków, podczas kiedy do wycieków z nich nie doszło. To temat na osobny wpis (i pewnie w innym serwisie).

Dziękujemy anonimowemu Czytelnikowi za zgłoszenie sprawy a jeśli ktoś zna autora, to jego proszę pozdrowić, a nam podesłać namiary tego geniusza – chętnie się dowiemy, co nim kierowało.