Atak ransomware na EuroCert. Wyciekły nawet wizerunki klientów

Firma będąca znanym dostawcą podpisów kwalifikowanych poinformowała o udanym ataku na jej infrastrukturę, który spowodował wyciek danych osobowych m. in. klientów, kontrahentów i pracowników spółki. Dane z wycieku mogą niebawem zostać opublikowane w darknecie.

EuroCert padł ofiarą ataku ransomware, który stwierdzono 12 stycznia w godzinach nocnych. Wiadomo. że dotyczy on części danych klientów, ale nie wiadomo jeszcze jak dużej części. Zawiadomiono Policję oraz CERT Polska. Zgłoszono też incydent do Prezesa UODO jako naruszenie ochrony danych związane z wysokim ryzykiem naruszenia praw i wolności osób. Wiemy, że niektóre osoby będące klientami firmy otrzymały już powiadomienie o wycieku, które jest niemal identyczne jak jedno z oświadczeń na stronie firmy.

Hasła, pesele, nawet wizerunki

Według naszych ustaleń dane z EuroCert.pl mają być opublikowane w darknecie na stronie jednej z grup RaaS (zapowiedź publikacji już się pojawiła). Ta sama grupa atakowała już wcześniej m.in. firmy analityczne, a także te z branży finansowej i budowlanej z całego świata. Jedną z jej polskich ofiar była wcześniej Scania Poland.

Jeśli wierzyć przestępcom to wyciekło 65 GB danych. Opublikowano trochę próbek. Są w nich m.in. umowy z subskrybentami z wrażliwymi danymi.

Są też wiele mówiące zrzuty ekranowe, takie jak ten.

Są też skany różnych dokumentów, także ze wzorami podpisów.

Firma przyznała, że dane jakie mogły wpaść w ręce przestępców to:

• dane identyfikacyjne;
• dane kontaktowe (adres e-mail, numer telefonu);
• numer PESEL;
• imię, imiona i nazwisko;
• data urodzenia;
• seria i numer dowodu osobistego;
• nazwa użytkownika i/lub hasło;
• wizerunek.

Od siebie dodamy, że grupa przestępcza opublikowała listę nazw plików, jakie wpadły jej w ręce. Te nazwy wydają się potwierdzać powyższe kategorie danych (ze zdjęciami włącznie).

Niestety nie wiadomo ilu osób może dotyczyć ten wyciek. Zwróciliśmy się z dodatkowymi pytaniami w tym zakresie do spółki EuroCert. Jeśli otrzymamy odpowiedzi zaktualizujemy ten tekst.

Jeśli to był atak ransomware to część danych może niebawem trafić na strony grup przestępczych w Darknecie albo na fora przestępców. Część zapewne zostanie odsprzedana, a może nawet połączona z czasem z innymi wyciekami. Pamiętajmy, że obrót danymi nie kończy się po incydencie. Skutki takiego wycieku ofiary mogą odczuć nawet kilka lat po zdarzeniu.

Co robić? Jak żyć?

Naszym zdaniem każdy obywatel (nie tylko ofiara wycieku) powinien czym prędzej zastrzec swój numer PESEL w usłudze mObywatel. To absolutnie podstawowy krok.

Dane o tak szerokim zakresie mogą być użyte w bardzo różny sposób. Przestępcy mogą ich użyć aby podszyć się pod urzędy, inne firmy (kontrahentów, w tym EuroCert), przedstawicieli organów ścigania itd. Wszyscy klienci EuroCert powinni być teraz wyjątkowo ostrożni w przypadku każdej korespondencji lub rozmowy telefonicznej. Można też rozważyć kolejne kroki takie jak

• wykupienie dodatkowych alertów BIK (uwaga, to jest płatne i wymaga podawania swoich danych kolejnemu podmiotowi),
• sprawdzenie swoich kont bankowych za pomocą Centralnej Informacji o Rachunkach (być może za jakiś czas) ,
• sprawdzenie swoich danych w Biurach Informacji Gospodarczej (każdy ma prawo zrobić to raz na pół roku).

Oczywiście równie ważne jest upewnienie się, że hasła stosowane w EuroCert nie będą w dalszym użyciu. Jeśli ktoś rozważał wdrożenie rozwiązań takich jak klucze U2F, a teraz jest ofiarą wycieku to właśnie ma kolejny powód, aby w te klucze zainwestować. No i to jest kolejny powód aby stosować dwuskładnikowe uwierzytelnianie (2FA) tam gdzie to możliwe i wdrożyć metody bezpiecznego zarządzania hasłami.