W wyniku infekcji użytkowników malwarem wyciekły dane do logowania polskich serwisów rządowych

https://twitter.com/darktracer_int/status/1498957779813679105?cxt=HHwWgoDS8ZWKr80pAAAA

Według portalu sekurak.pl:

  • Nie doszło do włamania do tych serwisów
  • Dane logowania wyciekły najpewniej w wyniku działania malware na komputerze osoby, która się logowała do danego serwisu
  • Potencjalnie mogą to być zarówno osoby uzyskujące dostęp do swojego konta jak i konta ~administracyjne (zależy to m.in. od charakteru danego serwisu)
  • Nie ma pewności, że mowa o jednym malware czy o kilku różnych tej samej klasy
  • Część danych logowania być może już jest zmieniona (w raporcie nie ma wskazanej daty pozyskania danych logowania)
  • Część kont posiada (oby) 2FA. To przy założeniu jeśli dany serwis w ogóle wspiera dwuczynnikowe uwierzytelnienie.

    W raporcie Darktracer hxxps://docs[.]google.com/spreadsheets/d/1KC615oNu1GJN4hymAR1Hxe1M46WG_FW4UMmHWbD3y3s/htmlview widoczne są takie domeny (w nawiasie wskazana liczba par logowania, które zostały wykradzione przez stealera/stealery):

Strony:

  • pz.gov.pl (818)
  • puesc.gov.pl (226)
  • nsp2021.spis.gov.pl (144)
  • ekrk.ms.gov.pl (108)
  • epuap.gov.pl (94)
  • sso.arimr.gov.pl (61)
  • zip.nfz.gov.pl (57)
  • programs.nawa.gov.pl (56)
  • loteriaparagonowa.gov.pl (39)
  • ppuslugi.mf.gov.pl (31)
  • raport.stat.gov.pl (31)
  • www-2.puesc.gov.pl (23)
  • ewniosek.arimr.gov.pl (20)
  • broker.praca.gov.pl (19)
  • moj.gov.pl (18)
  • diety.nfz.gov.pl (18)
  • kuratorium.bydgoszcz.uw.gov.pl (14)
  • eploz.ezdrowie.gov.pl (13)
  • rejestr-bdo.mos.gov.pl (13)

Żródło:

https://sekurak.pl/dane-logowania-do-pewnych-polskich-serwisow-rzadowych-wyciekly-od-uzytkownikow-zainfekowanych-malware-raport-darktracer/