Spis treści
Każdy, kto śledzi bieżące wydarzenia w świecie biznesu i technologii, musiał natknąć się na informację o sensacyjnym wycieku danych w serwisie Docer.pl. Chodzi o skany dokumentów zawierających najbardziej wrażliwe informacje: numery kont bankowych, dowody osobiste, akty notarialne, a nawet pełne wnioski kredytowe. To nie drobny incydent czy drobiazg wynikający z gapiostwa. Mówimy o sytuacji, w której dowody tożsamości i szczegółowe dane finansowe Polaków stały się dostępne w sieci, widoczne nie tylko dla botów wyszukiwarek, ale też dla każdego, kto posiada wystarczająco dużo czasu i ciekawości, by zająć się ich eksploracją.
Usłyszałem o tym wycieku po raz pierwszy w zwykły dzień pracy, między jedną a drugą rozmową telefoniczną z klientem, i od razu pomyślałem o konsekwencjach, jakie mogą spaść na niczego nieświadome ofiary tej sytuacji. Niewielu moich rozmówców w ogóle zastanawia się nad tym, gdzie dokładnie przechowują swoje dokumenty. Wrzucają je na „bezpieczne” platformy, bo przecież wszędzie piszą, że szyfrowanie, że bezpieczeństwo. Rzeczywistość tymczasem bywa przewrotna i nawet dobrze zapowiadający się serwis może mieć luki, które zniweczą wszelkie starania o poufność.
Początek sprawy, czyli jak to się stało
Wiadomość o istnieniu skanów dowodów osobistych i praw jazdy, dostępnych niemal dla każdego internauty, wstrząsnęła polskim światem cyberbezpieczeństwa. Przyczynę wycieku podali użytkownicy serwisu Niebezpiecznik.pl, którzy dostrzegli, że w Docer.pl – platformie do przechowywania i udostępniania plików – pojawiły się całkiem jawne dokumenty zawierające poufne dane. Z kolei na platformie X (dawniej Twitter) szybko pojawiły się wpisy, w których ostrzegano przed łatwym dostępem do wyciągów bankowych, umów kredytowych czy ksiąg wieczystych.
To trochę tak, jakby ktoś zostawił otwarte drzwi do archiwum z dokumentami, przez które przechodzi codziennie tysiące ludzi, a na dodatek wywiesił nad nimi neon z napisem: „Wejdźcie, przejrzyjcie, bierzcie, co chcecie.” Z perspektywy bezpieczeństwa trudno mi sobie wyobrazić gorszy scenariusz. Zdziwienie jest tym większe, że wśród najbardziej poszkodowanych mogą być klienci poważnych instytucji finansowych, którzy normalnie nie dopuszczają do żadnych usterek czy zaniedbań w kwestii ochrony danych. A jednak – „dziura” zaistniała i dane trafiły do sieci w najprostszy możliwy sposób, czyli poprzez błędną konfigurację udostępniania plików.
Dlaczego ten wyciek to aż tak poważna sprawa
Kiedyś uważałem, że największym zagrożeniem dla danych klientów są hakerzy działający w cieniu i przełamujący skomplikowane zabezpieczenia bankowe. Dziś widzę, że realne niebezpieczeństwo często tkwi w pozornie niewinnych metodach przechowywania lub współdzielenia dokumentów. Wyciek z Docer.pl stanowi tego najlepszy przykład. Mamy tu do czynienia z sytuacją, w której kradzież tożsamości czy wyłudzenie kredytu stają się bardziej niż prawdopodobne, bo podstawowe informacje identyfikujące konkretne osoby są na wyciągnięcie ręki.
Wielokrotnie tłumaczyłem swoim klientom, że każde działanie w sferze online wymaga czujności. Co z tego, że bank czy inna instytucja chroni dane, jeśli użytkownik sam, w sposób niezamierzony, wystawia je na światło dzienne? W Docer.pl znaleziono nawet wypełnione formularze PIT czy decyzje kredytowe. To tak, jakby – obrazowo mówiąc – przez dziurkę od klucza dało się podejrzeć szczegółowe informacje o cudzych zarobkach i planach finansowych.
Refleksja, czyli jak z tego wyjść cało
Od pewnego czasu powtarzam swoim partnerom biznesowym, żeby zadbali o bezpieczeństwo plików przechowywanych w chmurze, a jednocześnie nie popadali w fałszywe poczucie, że jeśli coś nosi nazwę „platformy do przechowywania”, to od razu jest w pełni bezpieczne. Ten wyciek pokazuje, jak ważne są ustawienia prywatności i świadome podejście do udostępniania danych. Zgłaszam się często z prostą poradą: chcesz coś trzymać w sieci, w porządku, ale zastanów się, czy naprawdę to musi tam być, a jeśli musi, to czy masz pewność, że jest odpowiednio zabezpieczone.
Wiele osób, których dane wypłynęły, ma teraz poważne kłopoty. Być może będą musieli zmieniać hasła, blokować karty, zgłaszać potencjalne wyłudzenia. W jednej z rozmów z klientem usłyszałem historię o tym, jak musiał tłumaczyć w banku, że ktoś otworzył konto na jego dane. Zabrzmi to brutalnie, ale to jest tylko czubek góry lodowej. Kradzież tożsamości potrafi odbić się echem w codziennym życiu, sprawiając mnóstwo stresu i generując koszty.
Wnioski na przyszłość
Z informacji podawanych przez mBank wynika, że akurat w jego przypadku nie doszło do błędów po stronie samego banku – „wyciek był w infrastrukturze niezależnej od nas” – podkreśla biuro prasowe. To niewątpliwie sygnał, że odpowiedzialność za ochronę danych nie leży wyłącznie w rękach dużych instytucji, ale także w decyzjach codziennych użytkowników, partnerów biznesowych i pośredników, którzy otrzymują dostęp do wrażliwych informacji.
Ta historia przypomina mi, że współczesny świat jest niezwykle dynamiczny i nierzadko „oparty na zaufaniu”. Czasem przesyłamy skan dowodu osobistego do firmy, z którą nie mieliśmy wcześniej do czynienia, bo wierzymy w marketingowe obietnice. Potem może się okazać, że ta firma nie weryfikuje, czy pliki, które przechowuje, nie trafiają przypadkiem do publicznego katalogu. Z tego powodu najważniejsza jest świadomość i zdroworozsądkowe sprawdzanie, komu i w jakim celu przekazujemy dane.
Wnioskiem, który ciśnie się na usta, jest zdanie, by pewne dokumenty i informacje trzymać zawsze pod kluczem – nawet jeśli ten klucz ma formę cyfrowego zabezpieczenia. Lepiej poświęcić kilka chwil na sprawdzenie opcji szyfrowania i kontroli dostępu niż potem wielokrotnie dłużej walczyć o przywrócenie zaufania banków czy klientów. Podobnie jak w przypadku innych zagrożeń – prewencja jest tu najskuteczniejszą formą ochrony przed konsekwencjami wycieków danych.
