W wyniku infekcji użytkowników malwarem wyciekły dane do logowania polskich serwisów rządowych
https://twitter.com/darktracer_int/status/1498957779813679105?cxt=HHwWgoDS8ZWKr80pAAAA
Według portalu sekurak.pl:
- Nie doszło do włamania do tych serwisów
- Dane logowania wyciekły najpewniej w wyniku działania malware na komputerze osoby, która się logowała do danego serwisu
- Potencjalnie mogą to być zarówno osoby uzyskujące dostęp do swojego konta jak i konta ~administracyjne (zależy to m.in. od charakteru danego serwisu)
- Nie ma pewności, że mowa o jednym malware czy o kilku różnych tej samej klasy
- Część danych logowania być może już jest zmieniona (w raporcie nie ma wskazanej daty pozyskania danych logowania)
- Część kont posiada (oby) 2FA. To przy założeniu jeśli dany serwis w ogóle wspiera dwuczynnikowe uwierzytelnienie.
W raporcie Darktracer hxxps://docs[.]google.com/spreadsheets/d/1KC615oNu1GJN4hymAR1Hxe1M46WG_FW4UMmHWbD3y3s/htmlview widoczne są takie domeny (w nawiasie wskazana liczba par logowania, które zostały wykradzione przez stealera/stealery):
Strony:
- pz.gov.pl (818)
- puesc.gov.pl (226)
- nsp2021.spis.gov.pl (144)
- ekrk.ms.gov.pl (108)
- epuap.gov.pl (94)
- sso.arimr.gov.pl (61)
- zip.nfz.gov.pl (57)
- programs.nawa.gov.pl (56)
- loteriaparagonowa.gov.pl (39)
- ppuslugi.mf.gov.pl (31)
- raport.stat.gov.pl (31)
- www-2.puesc.gov.pl (23)
- ewniosek.arimr.gov.pl (20)
- broker.praca.gov.pl (19)
- moj.gov.pl (18)
- diety.nfz.gov.pl (18)
- kuratorium.bydgoszcz.uw.gov.pl (14)
- eploz.ezdrowie.gov.pl (13)
- rejestr-bdo.mos.gov.pl (13)
Żródło: