Wyciek danych klientów banków i blokady kart płatniczych

8.6.2023

Rzecznik Finansowy podjął działania

W związku z możliwym wyciekiem danych m.in. klientów banków i związanym z tym zablokowaniem niektórych kart płatniczych, Rzecznik Finansowy skierował pisma do instytucji finansowych w sprawie złożenia wyjaśnień.

Działanie Rzecznika ma na celu m.in.:

ustalenie skali problemu i liczby zablokowanych kart,
sprawdzenie podjętych przez instytucje finansowe działań komunikacyjnych, naprawczych i zaradczych,
zweryfikowanie liczby złożonych w związku z tymi zdarzeniami reklamacji i sposobu ich rozpatrzenia, i przede wszystkim
zbadanie skali negatywnego wpływu zdarzenia na sytuacje życiowe klientów – chociażby w postaci niemożności skorzystania ze środków (np. w podróży zagranicznej), odrzuconych zaplanowanych transakcji, czy niezrealizowanych automatycznych zleceń,
czy banki proponują rekompensaty dla klientów, których dotknęła blokada środków.

Rzecznik zwraca uwagę, że wszelkiego rodzaju wycieki danych dotyczące podmiotów rynku finansowego stanowią istotne ryzyko dla klientów, w szczególności biorąc pod uwagę liczne przypadki działań związanych z wyłudzeniami środków finansowych wskutek cyberprzestępczości i oszustw z wykorzystaniem fałszywych wiadomości. Bezzwłoczne podjęcie właściwych kroków, w tym komunikacji kierowanej indywidualnie do klientów, może pozwolić na ograniczenie dolegliwości wskazanych problemów.

Na bazie informacji pozyskanych od instytucji finansowych Rzecznik Finansowy przeanalizuje ewentualny zakres odpowiedzialności poszczególnych instytucji finansowych za wyciek danych i na tej podstawie będzie podejmował kolejne działania – o czym będzie informował w kolejnych komunikatach.

Rzecznik Finansowy przypomina, że w każdym przypadku – również w oderwaniu od kwestii wycieku danych – ujawnienia przez klienta nieautoryzowanych transakcji (nie rozpoznawanych przez klienta, nie zlecanych, nieznanych) albo użycia ujawnionych danych przez cyberprzestępców do indywidualnego ataku socjotechnicznego czy phishingowego, należy jak najszybciej zwrócić się do banku z informacją o zdarzeniu oraz złożyć reklamację w razie poniesienia uszczerbku. Jeśli była to transakcja kartowa, można wykorzystać również procedurę chargeback (tzw. procedura zwrotu środków za transakcję dokonaną kartą płatniczą realizowana przez wystawcę karty i inicjowana przez klienta w sytuacji m.in. gdy transakcja nosiła znamiona oszustwa albo zamówiony i opłacony towar nie dotarł do klienta).

Reklamacja to wystąpienie skierowane do podmiotu rynku finansowego (banku) przez jego klienta, w którym klient zgłasza zastrzeżenia dotyczące usług świadczonych przez ten podmiot. Reklamacja może być złożona:

w formie pisemnej,
ustnie – telefonicznie albo osobiście do protokołu podczas wizyty klienta w jednostce (oddziale),
w formie elektronicznej z wykorzystaniem formularza podmiotu lub środków komunikacji elektronicznej, o ile takie środki zostały do tego celu wskazane przez podmiot rynku finansowego.

Podmiot rynku finansowego ma obowiązek przyjąć reklamację w każdej swojej jednostce, która obsługuje klientów.

Reklamacja podlega rozpatrzeniu w terminie 30 dni od dnia jej otrzymania. Jednakże, w szczególnie skomplikowanych przypadkach termin ten może ulec przedłużeniu do maksymalnie 60 dni od dnia otrzymania reklamacji (przy czym informacja o przedłużeniu terminu rozpatrzenia reklamacji musi być klientowi przekazana). Jeśli sposób rozstrzygnięcia reklamacji okaże się dla klienta niesatysfakcjonujący lub gdyby podmiot rynku finansowego nie udzielił odpowiedzi w zakreślonych ustawowo terminach, warto zwrócić się do Rzecznika Finansowego w wnioskiem o wszczęcie postępowania interwencyjnego w którym Rzecznik będzie dążył do wyjaśnienia sprawy, poprzez zwrócenie się do podmiotu rynku finansowego o zajęcie w niej pisemnego stanowiska.

Sprawdź, czy Twoje dane są bezpieczne!

W związku z upublicznieniem loginów i haseł polskich użytkowników, jednostki odpowiedzialne w Polsce za cyberbezpieczeństwo podjęły natychmiastowe działania, które mają ograniczyć negatywne skutki tej sytuacji. „Udostępniliśmy stronę, która pozwoli łatwo i szybko sprawdzić, czy wyciek obejmuje również nasze dane. Namawiam wszystkich, żeby zalogowali się na www.bezpiecznedane.gov.pl i upewnili się, że ta sytuacja ich nie dotyczy” – podkreślił Janusz Cieszyński, minister cyfryzacji.

Bądź czujny!

W Internecie posługujemy się naszymi loginami i hasłami. Stosujemy je, by bezpiecznie robić zakupy online, logować się do bankowości elektronicznej czy sprawdzić pocztę e-mail. Podczas wycieku, przestępcy upubliczniają dużą bazę wykradzionych informacji, zawierającą m.in. właśnie loginy i hasła klientów instytucji, portali i sklepów. Dla każdego z nas kluczowa jest informacja czy nasze dane znalazły się wśród udostępnionych. Jak to sprawdzić? Korzystając z prostej w użyciu wyszukiwarki, która dostępna jest na stronie bezpiecznedane.gov.pl.

Serwis powstał jako odpowiedź na ostatni, głośny wyciek danych polskich użytkowników. To pilotaż, który będzie rozwijany i kolejny krok w kierunku bezpieczeństwa obywateli. „Kluczowy był czas reakcji, dlatego we współpracy z COI przygotowaliśmy wyszukiwarkę, którą oddajemy w ręce użytkowników. Na pewno będziemy rozwijać to narzędzie, bo takie sytuacje jak ta, z którą dziś się mierzymy, będą się niestety powtarzać. Warto też podkreślić, że równolegle do prac nad wyszukiwarką, zespół CERT Polska informował podmioty o wycieku. Wysłane dotychczas powiadomienia dotyczyły ponad 1 mln unikalnych maili i loginów” – mówi Sebastian Kondraszuk, kierownik zespołu CERT Polska.

Co powinieneś zrobić?

Korzystanie z serwisu jest intuicyjne i pozwala szybko przeszukać dostępne bazy wycieków. Dane upublicznione w takich sytuacjach są bardzo obszerne, ale wystarczy podać swój adres email albo login i otrzymamy rezultat. Istotne jest, by wyszukiwanie powtórzyć dla wszystkich adresów i nazw użytkownika, których używamy. Jeżeli Twój login pojawił się w wycieku:

1. Użyj programu antywirusowego, żeby sprawdzić bezpieczeństwo swojego komputera.

2. Korzystając z bezpiecznego komputera, zmień hasła do logowania, których używałeś dotychczas. Jeżeli do logowania na różnych serwisach wykorzystywałeś to samo hasło, zmień je również na pozostałych stronach! Sprawdź, jak tworzyć bezpieczne hasła!

3. Włącz dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową.

4. Zwróć szczególną uwagę na próby logowania na konta: sprawdzaj alerty przesyłane na adres e-mail.

Dane, które pojawiły się w aktualnym wycieku, to informacje pozyskane złośliwym oprogramowaniem typu stealer.

Duży wyciek danych logowania polskich internautów

Jak zweryfikować, czy moje dane logowania wyciekły i jak lepiej chronić swoje dane w Internecie. Zachęcamy do zapoznania się z poradami zespołu CERT POLSKA (CSIRT NASK).

W tym tygodniu w darknecie opublikowany został duży zbiór danych wykorzystywanych do logowania przez polskich użytkowników internetu. Zbiór zawiera loginy i hasła do popularnych serwisów takich jak: Facebook, Allegro oraz poczty elektronicznej Onet i WP.

Jak przestępcy uzyskali dostęp do tych wrażliwych danych?

W trakcie analizy wspomnianego zbioru danych, działający w strukturach Państwowego Instytutu Badawczego NASK Zespół CERT Polska (CSIRT NASK) poinformował, że dane te są połączeniem wielu mniejszych zbiorów pozyskanych przez złośliwe oprogramowanie typu "information stealer".

Co to jest wyciek danych?

O wycieku danych mówimy wtedy, gdy wrażliwe informacje (jak loginy, adresy e-mail, hasła, treści prywatnych wiadomości, zdjęcia itp.) trafiają poza chronioną bazę danych. Wtedy niepowołane osoby mogą uzyskać do nich dostęp i wykorzystywać do różnych celów. Ujawnienie tych danych jest nielegalne i może być niebezpieczne szczególnie, gdy trafią w ręce nieuczciwych osób.

Jakie mogą być konsekwencje wycieku danych?

Przede wszystkim, wyciek danych może umożliwić osobom trzecim dostęp do wrażliwych informacji. Dane do logowania, dane osobowe, takie jak numer telefonu, adres zamieszkania, czy rachunku bankowego lub karty płatniczej, mogą zostać wykorzystane w celu kradzieży pieniędzy lub do zaciągania różnego typu zobowiązań. Zespół CERT Polska przygotował informacje, jak można zweryfikować, czy Twoje dane wyciekły.

W związku z dużą skalą incydentu, zespół CERT Polska zasilił dwa serwisy internetowe w dane z wycieku, dzięki czemu łatwo można sprawdzić, czy padłeś ofiarą tego zdarzenia.

Możesz to zrobić na stronach:

https://bezpiecznedane.gov.pl - serwis utworzony przez Centralny Ośrodek Informatyki (COI), który po zalogowaniu Profilem Zaufanym umożliwia zweryfikowanie, czy dane z opisanego wyżej wycieku zostały upublicznione.
https://haveibeenpwned.com - serwis, w którym możemy sprawdzić, czy różnego rodzaju wrażliwe dane ostały w nielegalny sposób upublicznione.

Co zrobić, jeżeli Twoje dane wyciekły (lub chcesz poprawić bezpieczeństwo swojego konta)

Użyj programu antywirusowego, żeby sprawdzić bezpieczeństwo Twojego komputera. Należy jednak zwrócić uwagę, że antywirusy mogą nie wykryć zagrożenia. Jeżeli zatem zachodzi podejrzenie, że system może być zainfekowany, najlepiej zabezpieczyć najważniejsze dane i przywrócić go do stanu fabrycznego
Korzystając z zabezpieczonego lub wyczyszczonego komputera zmień hasła do logowania, których używałeś dotychczas. Jeśli do logowania na różnych serwisach wykorzystywałeś to samo hasło, zmień je również na pozostałych stronach! Nie powielaj też haseł między serwisami!
Włącz dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową.
Zwróć szczególną uwagę na nowe próby logowania na konta, sprawdzaj alerty przesyłane na adres e-mail.

Można zapoznaniać się z publikacją o niedawnym wycieku danych dostępną na stronie Zespołu CERT Polska tutaj.

Weryfikacja dwuetapowa - prosty sposób na ochronę danych w Internecie

Czym jest weryfikacja dwuetapowa i dlaczego warto ją stosować?

Obecnie wiele usług internetowych wymaga założenia konta użytkownika i podania danych osobowych. Ich bezpieczeństwo jest jednocześnie jednym z najważniejszych aspektów związanych z korzystaniem z Internetu. Aby chronić swoje konta przed niepowołanym dostępem, warto zastosować skuteczne zabezpieczenia. Jednym z nich jest weryfikacja dwuetapowa.

Czym jest weryfikacja dwuetapowa?

Weryfikacja dwuetapowa (ang. two-factor authentication, 2FA) to metoda zabezpieczania konta polegająca na weryfikacji tożsamości użytkownika za pomocą dwóch różnych czynników. W przypadku logowania do konta zastosowanie jedynie hasła może okazać się niewystarczające. Weryfikacja dwuetapowa pozwala na zwiększenie poziomu bezpieczeństwa konta i ochronę przed atakami cyberprzestępców.

Jak działa weryfikacja dwuetapowa?

Weryfikacja dwuetapowa polega na użyciu dwóch różnych czynników weryfikacyjnych. Pierwszy czynnik to najczęściej hasło, które wprowadzamy w polu logowania. Drugi czynnik może przyjąć różne formy, np. kod (wysłany na numer telefonu, adres e-mail lub wygenerowany przez aplikację), czy odcisk palca (tzw. biometria). Dopiero po wprowadzeniu obu czynników użytkownik może uzyskać dostęp do konta.

Dlaczego warto stosować weryfikację dwuetapową?

Weryfikacja dwuetapowa pozwala na zwiększenie bezpieczeństwa Twoich danych i ograniczenie ryzyka niepowołanego dostępu do Twojego konta. Cyberoszuści nie ustają w wysiłkach, aby zdobyć nasze dane dostępowe. Najczęściej robią to za pomocą ataków phishingowych lub programów szpiegujących. Weryfikacja dwuetapowa pozwala na zwiększenie bezpieczeństwa naszego konta, nawet jeśli internetowym przestępcom uda się poznać nasze hasło.

Warto włączyć weryfikację dwuetapową, szczególnie jeżeli korzystasz z poczty elektronicznej, sklepów online, platform społecznościowych lub innych usług, w których przetwarzane są wrażliwe dane.

Włączenie weryfikacji dwuetapowej jest stosunkowo proste i wymaga tylko kilku kroków. Większość usług internetowych oferuje włączenie tej funkcji w ustawieniach konta.

Jak skonfigurować dwuetapową weryfikacje w najpopularniejszych usługach internetowych? Szczegółowe informacje opracował zespół CERT Polska w publikacji, którą znajdziesz tutaj.