Oj rozkręcił się kolega Jarymowicz, mamy już kolejny wpis od niego 🙂 Pojawi się Michael Jordan, więc według mnie już więcej zachęt nie potrzeba.
„Gentlemen do not read each other’s mail.”
czyli dane, gry, prawo i antyterroryści
Z czym Wam się kojarzy 1 czerwca? Być może są to cukierki, prezenty, wycieczki do zoo lub inne wspaniałe atrakcje związane ze świętem dzieci. I wiecie co? Do 2021 r. również miałem takie skojarzenia, jednak zgodnie z myślą piosenki nic nie mogło wiecznie trwać. Tego dnia doszło do próby oszustwa oraz kradzieży moich danych przez „dział techniczny banku”. Schemat działania był prosty i oparty na podstępie oraz wykorzystaniu pułapek psychologicznych. Szerzej o tym zagadnieniu oraz podobnej próbie opowiedział już Dawid Myśliwiec na swoim kanale, a sam film możecie odnaleźć poprzez link w bibliografii. Dlaczego jednak o tym wspominam? Otóż to nagranie oraz sytuacja którą przeżyłem, wywarły na mnie dość duże wrażenie. Nie na co dzień bowiem można znaleźć się w sytuacji, gdy możecie stracić całe swoje oszczędności Ponadto próba dotyczyła mnie, a wcześniej kilku moich znajomych…
Postanowiłem więc przyjrzeć się zagadnieniu danych, na jakich utratę są narażeni gracze. Opowiem więc o kilku metodach które stosują przestępcy, jak i o znanych wyciekach danych jakie dotknęły użytkowników różnych firm. Wreszcie postaram się wskazać kilka porad co zrobić, gdyby doszło do próby takiej kradzieży. Czy zatem jest dane wyruszyć w te przygodę? Tak? To wspaniale, zatem w dr… Tak? Mhm, rozumiem, macie rację. Może więc najpierw wyjaśnijmy…
CZYM SĄ TE DANE?
Gdyby odwoływać się jedynie do słownikowej definicji musielibyśmy uznać je za „fakty, liczby, na których można się oprzeć w wywodach”. Czym jednak byłby świat gdyby nie definicje prawne? Szczególnymi typem danych który interesują nas w kontekście tego tekstu są dane osobowe. Rozumiemy przez to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do identyfikacji osoby fizycznej. Zgodnie ze wspominanym kilkukrotnie na tym blogu ukochanym już RODO, do danych osobowych możemy zaliczyć m.in. imię i nazwisko, adres zamieszkania, adres e-mail o formule imie.nazwisko@domena.pl, numer dowodu tożsamości czy też w określonych sytuacjach adres IP. Ich szczególnym rodzaje są tzw. dane wrażliwe. Zgodnie z art. 9 RODO są nimi informacje dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, dane genetyczne oraz dane biometryczne. Należy tutaj wspomnieć, że nie mogą one być utrwalane, przechowywane i rozpowszechniane bez naszej wyraźnej zgody lub na podstawie wskazanych w Rozporządzeniu wyjątków.
Dlaczego jednak dane osobowe są tak istotne? Po pierwsze służą one profilowaniu np.: wyświetlanych nam reklam. To skąd jesteśmy, nasza płeć, poglądy czy wreszcie przynależność do danej grupy zawodowej sprawia, że sprzedawcy starają się profilować oferty pod nas. Niezwykle ciekawie temat ten omawia m.in. profesor Shoshana Zuboff w swojej książce pt. „Wiek kapitalizmu inwigilacji”. Ponadto, jak podkreślił w wywiadzie z okazji drugiej edycji obchodów Dnia Ochrony Danych Osobowych w Polsce ówczesny Generalny Inspektor Ochrony Danych Osobowych Michał Serzycki:
„(…) To nie jest tak, że to jest tylko imię i nazwisko podawane gdzieś w urzędzie, ale cały współczesny świat opiera się na informacji i na dostępie do informacji. To tak jak z towarami w sklepie. Nie wystarczy wystawić towaru, który zakupi klient. Nie jest tak, że wystarczy wystawić towar, przyjdzie klient i go kupi. Teraz trzeba zadbać o klienta. A w jaki sposób? Trzeba zebrać o nim informacje, czyli między innymi dane osobowe. Dostęp do informacji jest kluczem obecnego światowego rozwoju gospodarczego. Dane osobowe to jest imię, nazwisko, wiek, miejsce, gdzie mieszkamy. Jeśli je wszystkie zbierzemy, okaże się, że to są gotowe profile klientów, do których można kierować odpowiednie oferty. I wtedy można kierować do nich odpowiednie oferty. Stąd takie wielkie zakusy na to, by takie dane osobowe zdobywać.”
Ważniejszy jest jednak aspekt drugi, a mianowicie narażenie nas na bycie pokrzywdzonym w wyniku popełnionego przestępstwa. Nie no Olku daj spokój, przecież mnie to nigdy nie dotknie! Czy aby na pewno? Jeszcze w 2016 roku karniści alarmowali, że w obrocie prawnym znajduje się blisko milion fałszywych dokumentów. Z kolei według danych Biura Informacji Kredytowej, w Polsce może dochodzić każdego roku od kilkunastu do nawet kilkudziesięciu tysięcy przypadków przejęcia cudzej tożsamości. Celem takich działań jest np.: zawarcie fałszywych umów na wasze dane. Na ten moment blisko ¼ badanych Polaków boi się ataków hackerskich, a blisko 6/10 nie wie lub nie jest pewna tego, jakie działania należy podjąć w takiej sytuacji. Coraz częściej słychać też o tzw. wycieku danych osobowych. Jest to o tyle niepokojące, że przestępcy wykorzystują
WSPÓŁCZESNE METODY „NA WNUCZKA”
Wymienić należy tutaj szczególnie:
- Phishing, czyli sposób wyłudzenia danych poufnych za pomocą „kamuflażu”. Przebraniem tym ma być podszycie się pod inną osobę lub instytucję. Oszuści poza wyłudzeniem danych często dopuszczają się również zainfekowania komputera ofiary lub nakazuje mu wykonywanie określonych poleceń. Najpopularniejszymi formami phisingu dotykającego graczy objawia się w postaci fałszywych maili oraz w wiadomościach wysyłanych przez rzekomy suport danego tytułu.
- Hacking, przez który rozumiemy zdobycie przez hakera nieautoryzowanego wglądu do danych gracza, poprzez wykorzystywanie tzw. luk w zabezpieczeniu program oraz naszego komputera. Odróżnić go należy od crackingu, czyli bezprawnym łamaniu zabezpieczeń. Działanie to stało się nawet przedmiotem regulacji prawa karnego w przedmiocie art. 267 ust. 1 i 2 Kodeksu Karnego. Niestety ich nieprecyzyjność prowadzi do licznych problemów interpretacyjnych.
- Sniffing, będący programem mającym za zadanie przechwytywanie i analizowanie danych, które przepływają pomiędzy komputerem a siecią. Stosowany jest on przede wszystkim do kradzieży danych dotyczących kart kredytowych użytkowników sieci. Należy jednak pamiętać, że nie każdy sniffery działają na naszą niekorzyść. Mogą być bowiem wykorzystywane do np.: monitorowania przepustowości podczas transmisji danych.
I tak dalej, i tak dalej… Możemy się dalej oszukiwać, że gracze komputerowi nie są narażeni na wyciek lub kradzież ich danych. Możemy tez uznać, że płaskość Ziemi to pewnik i dalej zaprzeczać rzeczywistości. Warto więc przyjrzeć się głośnym i przerażającym z perspektywy graczy
UTRATY DANYCH W BRANŻY GIER VIDEO
Jeżeli jesteś graczem chociaż od tygodnia lub interesujesz się trendami internetowymi, to skrót CS:GO może wydawać Ci się znajomy. Counter-Strike: Global Offensive to wydana w 2012 r. przez Valve Corporation wieloosobowa strzelanka pierwszoosobowa. Jest to czwarta odsłona serii Counter-Strike, która swoje początki ma w modyfikacji do innego tytułu Valve- Half Life, który może kiedyś doczeka się trzeciej części 😉 W CS:GO wcielamy się w członka drużyny terrorystów lub antyterrorystów i wraz z pozostałymi uczestnikami mamy w wyznaczonym czasie, wykonać określone zadania lub zlikwidować drużynę przeciwną. Gra stała się fenomenem w e-sporcie na skalę globalną. Dość powiedzieć, że w czerwca 2021 r. w piku tytuł ogrywało blisko 900 tysięcy graczy. Wyobraźmy więc sobie do jak wielkiego wycieku danych mogłoby… A, no tak- doszło. Jak podaje portal grupy The Secret Club w grze Valve od dawna istnieje i działa niebezpieczny exploit, czyli rodzaj szkodliwego programu komputerowego. Umożliwiał on hakerom na dostanie się do baz danych czy też instalacje złośliwego oprogramowania na sprzęcie graczy, w postaci chociażby malware. Co dużo bardziej przerażające Valve miało wiedzieć o istnieniu tego programu… od blisko dwóch lat! Jak podaje komunikat grupy The Secret Service:
„Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it.”
Hakerzy korzystają z dwóch metod. Jedna z nich przybiera formę zwykłych zaproszeń do znajomych na platformie Steam. Drugi odbywa się na dedykowanych serwerach. Tam podczas rozgrywki wysyłane są m.in. specjalne kody, które otrzymują gracze znajdujący się w tzw. poczekalni. Na różnych forach gracze skarżą się na kradzież danych osobowych, haseł czy nawet kradzieże kont na platformie. Na szczęście, jak podaje serwis eurogamer.com Valve ostatecznie rozwiązała problem wspomnianego zagrożenia. Nie wiadomo natomiast ilu graczy zostało poszkodowanych w wyniku działań hakerów.
Do podobnych wycieków danych doszło również w przypadku innych firm. Liczby potencjalnych poszkodowanych mogą robić wrażenie. Japoński Capcom informował już w roku 2020, że blisko 350 tysięcy graczy mogło paść ofiarą kradzieży danych. Wyciekły takie z nich jak imiona, nazwiska, adresy e-mail czy też jakiej płci jest dany użytkownik. Problem ten dotyczyć miał przede wszystkim użytkowników z Japonii oraz tych zlokalizowanych w Ameryce Północnej. Nie zostało potwierdzone, czy dane dotyczące kart kredytowych pozostały bezpieczne. Capcom zapewnia jednak, że obsługująca ten obszar firma zewnętrzna powinna była sobie z tym poradzić. Do jeszcze większego skandalu mogło dojść jednak w przypadku domeny Epicgames.com. Jak podają źródła mogło dojść do wycieku danych ponad 106 milionów (!) użytkowników. Gracze zostali poinformowani przez przedstawicieli firmy zewnętrznej związanej z grą, oraz w drugiej kolejności przez spółkę obsługującej karty kredytowe dużej z części użytkowników. Dodatkowo niepokój graczy mógł budzić fakt, że studio nie potwierdzało doniesień i milczało w tej sprawie.
Podobne incydenty przydarzyły się lub miały się przydarzyć także m.in. CD Project RED, Nintendo czy też EA. Pewnie u części z was pojawia się w tym momencie pytanie:
CO ZATEM MOGĘ ZROBIĆ?!
Już spieszę z krótkim poradnikiem. Nie gwarantuje, że ochroni was przed każdym atakiem, ale na pewno ograniczy ryzyko jego wystąpienia. Tak więc pamiętajmy o:
- Nie klikaniu w podejrzane linki od „suportu”- najczęściej maile pracowników firm komputerowych są odpowiednio oznaczone i spersonalizowane. Jeśli zaś nie mamy pewności czy faktycznie napisał do nas pracownik firmy X, to należy…
- … zadzwonić na infolinię. Lepszym rozwiązaniem jest odczekanie tych kilkunastu minut na infolinii, niż doprowadzić do utraty danych.
- https://pl.wikipedia.org/wiki/Lista_istniej%C4%85cych_monarchii pod tym linkiem znajduje się lista rodzin królewskich na świecie. Nie próbujcie uwierzyć w to, że tajemniczy książę napisał do was w czasie sesyjki w CS, ale jeśli chcecie się upewnić to zweryfikujcie jego dane za pomocą tej listy. A tak zupełnie poważnie- weryfikujcie to kto do was pisze lub dzwoni, zwłaszcza gdy podaje się za pracownika firmy X.
- Nie pobierajcie aplikacji umożliwiające śledzenie lub podgląd waszego urządzenia.
- Pracownicy takich firm nigdy nie będą chcieli waszego pełnego numeru PESEL, hasła a tym bardziej numeru karty płatniczej.
- W razie próby kradzieży/gdy zauważycie że jesteście ofiarą kradzieży danych, NATYCHMIAST zgłoście to na policję, suportowi firmy oraz do waszego banku. Jeżeli zgłosicie to do organów ścigania dobrze mieć przygotowane np. screeny rozmów, wykazy połączeń czy też zapisać uzyskane po drodze informacje.
- Zabezpieczajcie swoje aplikacje i oprogramowanie odpowiednimi hasłami. Przykładowo 12345678 to fajny ciąg cyfr, ale nic ponad to.
Na koniec pamiętajcie o jednym- to wy jesteście najważniejszymi strażnikami waszych danych. Nie dopuszczajcie więc, by przez waszą lekkomyślność narazić się na straty.
Aleksander Jarymowicz
Bibliografia:
Stimson, Henry L.; Bundy, McGeorge (1948). On Active Service in Peace and War. New York, New York, USA: Harper & Brothers. p. 188
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
http://di.com.pl/popularne-oszustwa-w-grach-internetowych-infografika-53058
http://cyberprzestepczosc.info/hacking-komputerowy/
Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (t.j. Dz. U. z 2020 r. poz. 1444 z późn. zm.).