Cyberprzestępczość: Wyciek baz danych, czyli hakerzy w akcji

Media niemal na każdym kroku donoszą o wycieku istotnych baz danych. W tym roku w Polsce głośno było o ataku hakerskim (choć precyzyjniejsze byłoby sformułowanie „atak crakerski”) i pozyskaniu danych osobowych zgromadzonych w bazach takich serwisów jak Cyfrowe.pl, Exerion.pl, okno.pw.edu.pl (baza Politechniki Warszawskiej) oraz KSSIP.GOV.PL (baza Krajowej Szkoły Sędziów i Prokuratorów). Problem z wyciekającymi danymi to nie tylko przypadłość Polski, ale całego świata. Choćby kilka dni temu media informowały o udanym ataku hakerów na nowojorską kancelarią prawną Grubman Shire Meiselas & Sacks obsługującą m.in. znanych artystów i sportowców. Wśród danych gwiazd pozyskanych przez hakerów mają znajdować się np. informacje o kontraktach, niejawne porozumienia, numery telefonów i adresy mailowe oraz prywatna korespondencja.

Jak pokazuje powyższy przykład, działalność hakerska może zmierzać do pozyskania najróżniejszych informacji zgromadzonych na serwerach całego świata w tym w tzw. chmurach internetowych. Bardzo często hakerzy wydobywają takie dane jak np. imię i nazwisko, adres e-mail i hasło, numer telefonu, numer rachunku bankowego. Bywa również, że hakerom udaje się wykraść bardziej newralgiczne dane jak np. numer dowodu osobistego, czy numer karty kredytowej. Innymi słowy są to te dane, które zazwyczaj udostępniamy np. podczas rejestracji do jakiegoś serwisu internetowego i korzystania z usług internetowych. Słabe zabezpieczenia lub wręcz całkowity ich brak, luki systemowe, błąd ludzki, stanowią swoistą pożywkę dla hakerów. Tymczasem pomimo istoty problemu i częstych informacjach o atakach hakerskich, wiele podmiotów i instytucji lekceważy problem, pomija w swoim budżecie wydatki na cyberbezpieczeństwo, żyjąc w złudnym przekonaniu, że ten problem nigdy ich nie dosięgnie.  

Motywy działań hakerów są różne. Czasami chodzi o rozgłos i zwiększenie swojej reputacji w środowisku hakerskim, co związane jest najczęściej z upublicznieniem pozyskanych danych w sieci. Inną z pobudek jest chęć osiągnięcia pewnych profitów finansowych, co powoduje, że pozyskane przez hakerów dane nie są publikowane (przynajmniej czasowo), lecz są odsprzedawane lub wykorzystywane na potrzeby własne. Przykładowo tzw. baza combo (combolista) składająca się z rekordów w postaci adresu e-mail i hasła, może zostać wykorzystana do uzyskania dostępu do popularnych serwisów internetowych. Czasami hakerzy wykorzystują pozyskane dane do szantażu, jak chociażby ma to miejsce w przywołanym przykładzie nowojorskiej kancelarii, gdzie hakerzy zażądali okupu w zamian za odstąpienie od publikacji informacji o gwiazdach. Często w tego typu atakach hakerzy używają oprogramowania ransomware, które blokuje dostęp do danych szyfrując je. Dopiero zapłata okupu umożliwia odzyskanie wykradzionych i zaszyfrowanych danych.

Powyższe zachowania z punktu widzenia polskiego prawa są oczywiście czynami zabronionymi. Przykładowo „włamanie” do bazy danych jakiegoś serwisu internetowego celem pozyskania danych jego użytkowników będzie kwalifikowane w oparciu o art. 267 § 2 kodeksu karnego, który za tego typu czyn przewiduje karę do 2 lat pozbawienia wolności. Wykorzystanie ransomware do zaszyfrowania danych dla okupu może z kolei być uznane za przestępstwo opisane w art. 268a kodeksu karnego, który przewiduje karę nawet do 5 lat pozbawienia wolności w przypadku wyrządzenia znacznej szkody majątkowej. Z kolei już samo stworzenie narzędzia (programu komputerowego) do pozyskiwania danych zgromadzonych w bazach danych naraża na groźbę odpowiedzialności karnej za czyn z art. 269b kodeksu karnego. Powołany przepis przewiduje zagrożenie karą pozbawienia wolności do 5 lat. Jak zatem wynika z powyższego kary za przestępczą działalność hakerską mogą być stosunkowo wysokie.

Teoretycznie w sieci można sprawdzić czy nasz e-mail i hasło stały się przedmiotem wycieku i w tym celu można skorzystać z wyszukiwarek do tego przeznaczonych (np. haveibeenpwned.com), aczkolwiek już samo korzystanie z nich może być ryzykowne. Dlatego jeżeli mamy podejrzenie, że nasz e-mail został użyty do działań hakerskich, najlepiej w pierwszym kroku zmienić hasło dostępowe do niego oraz wszędzie tam gdzie wykorzystywaliśmy ten sam e-mail i hasło podczas rejestracji.

adwokat Michał Korszla