O tym, że ruszyła szczepionkowa loteria Totalizatora Sportowego prawdopodobnie nie trzeba nikomu przypominać. Co, jeśli powiemy Ci, że biorąc udział w loterii masz szanse wygrać nie tylko gotówkę i samochód, ale również bycie ofiarą oszustwa? Przyjrzyjmy się bliżej Twoim danym, które udostępnia portal rządowy gov.pl, czy aby na pewno jest to bezpieczne?

Wysokie nagrody pieniężne, rzeczowe i częste losowania – to wszystko miało za zadanie zachęcić Polaków do odwiedzania punktów szczepień i budowania zbiorowej odporności przeciw COVID-19. Nie jesteśmy jednak tutaj, aby oceniać efekty tych działań rządu, ale żeby zwrócić uwagę na kwestię bezpieczeństwa danych wrażliwych uczestników i zwycięzców loterii.

Możesz pomyśleć: „Dlaczego moje dane mogłyby być zagrożone?”, jednak jest to o wiele bardziej prawdopodobne niż Ci się wydaje. Jak? Już spieszymy z odpowiedzą.

Zamaskowane dane na liście zwycięzców? Niekoniecznie.

Każda zarejestrowana w loterii osoba ma szanse na zdobycie cennych nagród. Wylosowany szczęśliwiec jest informowany SMS-em, a następnie wpisywany na listę wygranych na rządowej stronie gov.pl. Ten zabieg miał na celu zmniejszenie ryzyka oszustw. Dwuetapowe potwierdzenie wygranej ma chronić uczestników loterii przed próbami wyłudzenia poprzez wiadomości z niebezpiecznym linkiem.

To rozwiązane wydaje się być bardzo rozsądne, ale czy na pewno przy tym dostatecznie chroni Twoje dane? Przyjrzyjmy się tabelce zestawiającej listę wygranych, która ma być narzędziem do weryfikacji autentyczności wiadomości, otrzymywanej w przypadku wygranej.

Lista weryfikująca zwycięzców narodowej loterii szczepionkowej

Zamaskowane nazwisko i widoczne tylko pierwsze 4 cyfry numeru telefonu – dla większości taki zabieg wydaje się wystarczającym zabezpieczeniem naszych danych. Zastanówmy się jednak jaką trudnością dla hakera byłoby odnalezienie „ukrytych” informacji? Odpowiedź jest prosta – żadną. Taka cenzura danych nie przeszkodzi przestępcom w odnalezieniu ich w całości.

Słynne wycieki baz danych

Zadanie mogą ułatwiać przestępcom bazy danych, które często wyciekają z różnych portali. Pozyskanie ich jest bardzo proste i tanie, więc nie stanowi najmniejszego problemu dla oszusta. Pomyśl, na ilu stronach podawałeś kiedykolwiek swoje imię i nazwisko wraz z numerem telefonu? Prawdopodobnie byłoby ciężko zliczyć, ponieważ jest ich z pewnością wiele. Każdy z nas robi zakupy w sklepach internetowych i posiada konta na portalach społecznościowych, istnieje więc duże ryzyko, że wycieknie baza, zawierająca również Twoje dane.

W ostatnim czasie na światło dzienne zostały wystawione dane użytkowników Facebooka czy sklepu morele.net. Taka sytuacja znacznie ułatwia oszustom odnalezienie osoby, która wygrała dużą kwotę i mogłaby zostać ofiarą.

Jeśli cyberprzestępca posiada już kilka tych informacji, prawdopodobnie będzie w stanie znaleźć w internecie dodatkowe fakty na Twój temat, które mogą umożliwić mu dokonanie oszustwa. Głośno jest ostatnio o próbach wyłudzenia za pomocą tajemniczych linków lub telefonów od osób podających się za pracowników banku lub departamentu bezpieczeństwa. Manipulacja rozmowy, informacja o tym, że wykryto na Twoim koncie podejrzaną transakcje i podanie kilku szczegółów na Twój temat może skutecznie zmylić lub przestraszyć na tyle, że zrobisz to, o co poprosi domniemany pracownik banku. W efekcie taka osoba może przejąć Twoje konto lub ukraść z niego całą zawartość. Z perspektywy cyberprzestępcy jest to łatwy cel.

Baza danych klientów sklepu morele.net do pobrania na jednym z forów

Zgłosił się do nas proszący o anonimowość czytelnik, któremu udało się powiązać dane z portalu gov.pl z 19 osobami z baz danych, które wyciekły. W ten sposób poznał komplet informacji, które mogły by być wykorzystane do próby oszustwa.

Jaka jest więc szansa, że ktoś wykorzysta Twoje dane i będzie próbował Cię oszukać? Procent możliwości potwierdzenia się takiego scenariusza jest niestety bardzo wysoki. Imię, pierwsza litera nazwiska i cztery pierwsze cyfry numeru telefonu – w kradzionej bazie danych raczej nie znajdziemy nawet dwóch pozycji spełniających te kryteria. Oznacza to, że haker od razu rozszyfruje pełne dane konkretnych osób, ponieważ istnieje bardzo małe prawdopodobieństwo powielania się tych zależnych.  Należy więc zastanowić się, czy system szczepionkowej loterii organizowanej przez Totalizator Sportowy jest bezpieczny. Odpowiedź sama nasuwa się na myśl.

Wylosowałem nagrodę w loterii – co powinienem zrobić? 

Przede wszystkim należy pamiętać o zasadach bezpieczeństwa opisywanych w pierwszej części artykułu. Do zwycięzców nagród wysyłana jest wiadomość SMS informująca o wylosowanej kwocie lub przedmiocie. W takim przypadku należy upewnić się, że link zawarty w wiadomości SMS jest poprawny – zwróć uwagę na adres strony internetowej. Po otrzymaniu wiadomości, wejdź na stronę www.gov.pl/szczepimysie/loteria i sprawdź czy Twoje dane znajdują się na liście zwycięzców. Wiadomość z informacją o wygranej oraz kodem do wypłaty pieniędzy wysyła również bank PKO BP.

Uważaj na próby oszustw wymierzonych w uczestników loterii – nie podawaj swoich danych osobowych przez telefon i zwracaj uwagę na otrzymany link zanim w niego klikniesz. Nie daj się też nabrać na dodatkowe działania, które musiałbyś podjąć w celu odebrania nagrody np. wypełnienie formularza, podanie dodatkowych danych lub dopłata symbolicznej kwoty do nagrody.