Cytat:Netia nie ma ostatnio szczęścia. Najpierw wybuch instalacji gaśniczej w jednej z serwerowni zdemolował część budynku i spowodował utratę danych z części serwerów. Teraz, ktoś włamał się na jeden z serwisów internetowych i z serwerów webowych Netii wykradł ponad 18 GB danych zawierających dane klientów operatora.
Włamanie do Netii i wyciek danych
Pierwsze informacje na temat włamania pojawiły się na Twitterze około południa. Konto, dokładnie 2 świeżo założone konta o wspólnej nazwie Lemberg ale dwóch różnych identyfikatorach (@evstoliyakalas2, @noskovfurs1994) spamowały media oraz polskich (w większości niezbyt sensownie wybranych) użytkowników Twittera linkami do także świeżo założonego konta @pravsector, które z kolei publikowało linki do wykradzionych baz danych:
(...)
W wykradzionych z serwerów Netii bazach danych znajdują się m.in. takie dane: Imiona i nazwiska klientów Netii
Adresy zamieszkania
Numery telefonów
Numery kont bankowych
Adresy e-mail
Wiadomości z formularzy kontaktowych
Łączny rozmiar wykradzionych baz przekracza 18GB. Ich pobranie musiało trochę trwać, ale atakującym pewnie sprzyjało zamieszanie związane z wybuchem instalacji gaśniczej w jednej z serwerowni Netii. A może pierwszy z incydentów jest powiązany z drugim? Pytań wokół tego włamania jest oczywiście więcej. Czy opublikowanie wykradzionych danych dokładnie na dzień przed startem szczytu NATO to przypadek, czy zaplanowane działanie? Nie jest też jasne kto stoi za włamaniem. Czy atakującym jest rzeczywiście ukraińska organizacja Pravyy Sektor? A może ktoś się pod nią podszywa? )))
Atakujący zdają się śledzić doniesienia prasowe na temat włamania — zachęcamy więc do kontaktu z nami. Z chęcią dowiemy się czegoś więcej na temat kulisów tego incydentu. Oczywiście gdyby pracownicy Netii znający sprawę też chcieli nam opowiedzieć o incydencie, także zapraszamy do kontaktu.
PS. To nie pierwsza kradzież danych klientów Netii — do podobnego incydentu doszło 3 lata temu. Bazę wystawiono wtedy na sprzedaż.
Do ciekawych wniosków doszła też w swoich badaniach Zaufana Trzecia Strona, analizując wydarzenia sprzed kilku miesięcy
Cytat:Znaleźliśmy informacje wskazujące, że włamanie do serwera Netii którego konsekwencje mogliśmy dzisiaj obserwować mogło mieć miejsce dużo wcześniej, bo w kwietniu 2016. Dowodem jest próbka złośliwego oprogramowania z tego serwera…
Przypomnijmy – wczoraj poinformowaliśmy o włamaniu do serwera Netii oraz wycieku danych osobowych klientów. Co prawda Netia w swoim pierwszym oświadczeniu nie potwierdziła wycieku danych, lecz trudno zignorować istnienie plików o rozmiarach gigabajtów, w których znajdują się adresy WWW Netii, produkty Netii oraz potwierdzone przez nas dane osobowe klientów Netii sprzed kilku dni. Szukając informacji o okolicznościach włamania na serwer investor.netia.pl znaleźliśmy próbkę złośliwego oprogramowania, która pobierana była własnie z tego serwera. Oznacza to, że albo doszło do dwóch włamań, albo włamywaczy nie udało się w kwietniu 2016 usunąć.
(...)
W serwisie VirusTotal znaleźć można dokument Worda (...) Sam dokument udaje urzędowy formularz, lecz w stopce zawiera prośbę o uruchomienie makro. Jak pewnie wiecie, uruchomienie makro może zaowocować wykonaniem złośliwego kodu. W tym wypadku faktycznie tak jest. Kod jest zaciemniony, jednak po jego wyczyszczeniu otrzymujemy następujące polecenie:
Tak, Wasze oczy Was nie mylą. Złośliwy dokument Worda pobiera plik uran.jpg z serwera investor.netia.pl a następnie go wykonuje. Plik JPG to oczywiście ukryty plik EXE, w tym wypadku koń trojański Papras (dla zainteresowanych link do VT).
Wiemy, że wydarzenia te miały miejsce około 20 kwietnia 2016. Netia została poinformowana o incydencie i po dwóch dniach plik z koniem trojańskim zniknął z serwera. Nie wiemy jednak, czy plik został usunięty przez administratorów Netii czy też przez przestępców kontrolujących serwer.
Nasze wnioski
Być może po wykryciu infekcji Netia załatała błędy w serwerze i przez przypadek przestępcom udało się odkryć nowy błąd i ponownie dostać do serwera. Możliwe także, że cały czas dostęp do serwera posiadali i szykując się na małą destabilizację w Polsce 1 lipca pobrali wszystkie dostępne dane z serwera Netii i 7 lipca je opublikowali. Mamy nadzieję, że śledztwo Netii to wyjaśni i poznamy jego wyniki.
Aktualizacja 2016.07.08 9:30
Otrzymaliśmy zaktualizowane oświadczenie Netii, w którym firma potwierdza wyciek danych klientów:
Cytat:7 lipca 2016 roku około południa strona internetowa netia.pl została zaatakowana przez hakerów. Hasła i loginy dostępu do NetiaOnline są bezpieczne, dlatego nie ma konieczności żadnych działań ze strony klientów.
Wszystkie serwisy obsługi klienta Netii działają prawidłowo. Eksperci analizują przebieg ataku. Podjęte aktywności pozwoliły zminimalizować skutki działań wymierzonych w firmę. We współpracy z wiodącymi na rynku specjalistami z zakresu cyberbezpieczeństwa niezwłocznie wzmocniliśmy ochronę naszych zasobów sieciowych.
Niemniej w wyniku ataku hakerzy dostali się do stron zawierających dane osób zgłaszających poprzez formularz chęć kontaktu ze strony Netii. Są to często fragmentaryczne wpisy, zawierające głównie numery telefonów kontaktowych.
Dodatkowo włamujący się na stronę uzyskali dostęp do danych z formularza umów zawieranych drogą elektroniczną, poprzez stronę internetową Netii. Netia pragnie zachować najdalej idącą ostrożność, dlatego wszyscy klienci, których może dotyczyć potencjalny wyciek, zostaną powiadomieni. Dotyczy to niewielkiej części abonentów firmy.
Sytuacja została ustabilizowana. Dane klientów oraz firm współpracujących są zabezpieczone przez ekspertów Netii, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy.
O dalszych szczegółach będziemy informowali na bieżąco wraz z postępem naszej kontroli.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Też dostałem tego sms'a. Teraz pytanie co robić z dowodem. W postach na Niebezpiecznik ludzi co sprawdzili tą bazę mówią, że tam jest więcej niż informuje Netia i to jest najgorsze. Ciężko mi pobrać aby sprawdzić co tam siedzi mojego. Szkoda mi numeru telefonu, ale jak dostanę kilka niepowołanych sms, tel to zmieniam od razu.
Show ContentPytanie o bazę:
Może komuś z was udało się dobrać do bazy?
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Najlepsze jest to że odmawiają jakichkolwiek odszkodowań, cóż twierdzą że się "stało" i w ich odczuciu niema powodu do jakiejkolwiek zapłaty/rekompensaty.
Cytat:Drodzy, potwierdzamy, że od kilkudziesięciu minut miejscowo możecie mieć kłopoty w korzystaniu z transmisji danych w LTE. Tymczasowo możecie się przełączyć do 3G – odczujecie poprawę, a tymczasem nasi technicy mocno pracują nad przywróceniem usług do zwykłego poziomu.
Będziemy Wam dawać znać na bieżąco o postępach prac, więc nie ma potrzeby dzwonić do naszego BIura Obsługi Abonenta
Bardzo przepraszamy za wszelkie niedogodności!!!
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Mnie napisali, że tylko numer. Tylko, że w formularzu kontaktowym na pewno było więcej danych. Media wogóle mówią o zdarzeniu? Nie mam TV więc nie wiem.
Żeby wystąpić o odszkodowanie pewnie ktoś musiałby potwierdzić ich winę, a na to pewnie nie ma co liczyć bo byłoby po firmie i nikt do tego nie dopuści.
Skoro ktoś może mieć mój numer to jakie to niesie konkretnie zagrożenia dla mnie?
Krystian jak pytałeś o dostępność to na bank podałeś też adres który jest w tej samej bazie. Czekam aż mi się pliki dociągną i sprawdzę swoje dane + znajomych którzy o to prosili, jak się okaże że jest więcej danych to zrobimy rwetes w kraju i przygarniemy ludzi chętnych do pozwu zbiorowego.
No właśnie też mnie to męczy, że raczej sam numer to trochę mało do przechowywania bez imienia, nazwiska i lokalizacji. Na niebezpieczniku ludzie w komentarzach piszą, że w bazie jest więcej danych. Strony na facebook-u nie otworzę bo nie mam konta.
Sam sposób powiadamiania przez Netię też był ciekawy. Lakoniczny esemes z linkiem do strony internetowej. Powiem szczerze, że miałem obawy w otworzeniu linka i najpierw zacząłem szukać w sieci informacji o co chodzi.
Padło tam pytanie o dane i wychodzi, że w tym dużym pliku to siedzi.
Odpisali mi, że tylko mój email i numer telefonu, napisałem aby przestali kłamać i dokładnie sprawdzili (bo wiem, że więcej). Ta firma sama się pogrąża, a ja nie mam alternatywy innego sensownego internetu w okolicy, idzie się załamać
Show Contentzawartość:
Jak ktoś ma dostęp do niego może pomóc w ustaleniu co mojego tam jest?
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Już podobno zaczyna się spam na dane, które wykradziono. Przeraża mnie zakładanie nowego email i zmiana z dobrej setki email na serwisach. Zmusi mnie to wreszcie do założenia skrzynki z aliansami hehehe.
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Cytat:Otrzymaliśmy informację, że na adres podany wyłącznie Netii (i niestety znajdujący się w wykradzionej ostatnio bazie) dotarł fałszywy e-mail. Przestępcy podszywają się pod mBank.
(...)
Kampania wysyłana jest nie tylko na adresy klientów Netii znajdujące się w ostatnio wykradzionej bazie, ale również inne. Co to oznacza? Tylko tyle, że przestępcy już dołączyli do swojej spamowej bazy dane wykradzione z Netii.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Dostałem tego email, ale jak ludzie pisali wylądował w spam gmail. Zastanawiam się co raz mocniej nad zmianą email na nowy, ale to bardzo powolny proces aby zmienić, to był mój główny - oczywiście 2 etapowa weryfikacja i hasło z generator. Zastanawia mnie co oprócz spamu może mi zagrażać, choć sam on wystarczy mi jako motywator.
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
![[Obrazek: www_netia_pl.jpg]](https://niebezpiecznik.pl/wp-content/uploads/2016/07/www_netia_pl.jpg)
![[Obrazek: Screenshot_2016-07-14-14-26-55-338x600.png]](https://niebezpiecznik.pl/wp-content/uploads/2016/07/Screenshot_2016-07-14-14-26-55-338x600.png)
![[Obrazek: mBank_serwis_transakcyjny-600x504.jpg]](https://niebezpiecznik.pl/wp-content/uploads/2016/07/mBank_serwis_transakcyjny-600x504.jpg)