Co ósmy pracownik przyznaje się do sprzedaży firmowych danych logowania - Security Bez Tabu

Co ósmy pracownik przyznaje się do sprzedaży firmowych danych logowania

Cybersecurity news

Wprowadzenie do problemu / definicja

Sprzedaż firmowych danych logowania przez pracowników to jedna z najgroźniejszych odmian zagrożeń typu insider threat. W takim scenariuszu legalny użytkownik świadomie przekazuje dostęp do systemów organizacji osobie trzeciej, byłemu pracownikowi lub grupie cyberprzestępczej. To szczególnie niebezpieczne, ponieważ napastnik nie musi przełamywać zabezpieczeń technicznych — korzysta z prawidłowego konta, uprawnień i legalnej ścieżki dostępu.

Z punktu widzenia bezpieczeństwa oznacza to przesunięcie ciężaru ryzyka z klasycznej ochrony perymetrycznej na ochronę tożsamości, sesji i kontekstu użycia konta. Im większa zależność organizacji od chmury, usług SaaS i pracy zdalnej, tym większa wartość operacyjna pojedynczego konta pracownika.

W skrócie

Najnowsze ustalenia wskazują, że 13% badanych pracowników w dużych organizacjach zadeklarowało sprzedaż służbowych danych logowania w ciągu ostatnich 12 miesięcy albo wskazało, że zna osobę, która dopuściła się takiego działania. Taki sam odsetek uznał ten czyn za możliwy do usprawiedliwienia, co pokazuje, że problem nie ogranicza się wyłącznie do technicznych luk, lecz dotyczy także etyki, świadomości i kultury organizacyjnej.

  • 13% badanych przyznało sprzedaż loginów lub znajomość takiego przypadku,
  • 13% uznało takie działanie za możliwe do usprawiedliwienia,
  • legalne konta stają się towarem o wysokiej wartości na cyberprzestępczym rynku,
  • ryzyko obejmuje wycieki danych, oszustwa, ransomware i nadużycia finansowe.

Kontekst / historia

Zagrożenia wewnętrzne od lat są obecne w cyberbezpieczeństwie, jednak ich znaczenie wzrosło wraz z popularyzacją pracy hybrydowej, zdalnego dostępu, rozproszonych tożsamości i rozbudowanych środowisk chmurowych. Konto użytkownika stało się dziś jednym z kluczowych zasobów bezpieczeństwa, a jego kompromitacja może otworzyć drogę do wielu systemów jednocześnie.

Badanie przeprowadzone wśród 2000 pracowników zatrudnionych w brytyjskich firmach liczących ponad 1000 osób pokazuje, że handel służbowymi danymi logowania nie jest zjawiskiem marginalnym. Co istotne, wyższy poziom akceptacji dla takiego zachowania odnotowano także wśród kadry kierowniczej oraz menedżerów wyższego szczebla. To sygnał, że problem może mieć podłoże nie tylko operacyjne, ale również kulturowe i zarządcze.

Szerszy krajobraz zagrożeń dodatkowo wzmacnia ten trend. Rosnąca liczba przejętych tożsamości pracowniczych, obecność poświadczeń w logach infostealerów oraz rozwój rynku initial access brokers powodują, że legalne loginy są dziś atrakcyjnym aktywem dla cyberprzestępców. Zakup gotowego dostępu jest często szybszy i mniej ryzykowny niż samodzielne prowadzenie phishingu czy wykorzystanie podatności.

Analiza techniczna

Techniczna groźność sprzedaży danych logowania polega na tym, że atak nie wymaga obejścia zapory sieciowej, włamania do endpointu czy wykorzystania luki typu RCE. Wystarczy poprawne uwierzytelnienie przy użyciu legalnych danych. Taki dostęp może wyglądać w logach jak zwykła aktywność pracownika, szczególnie jeśli napastnik używa zgodnych tokenów SSO, sesji VPN i typowych aplikacji biznesowych.

Skutki incydentu zależą od klasy sprzedanego konta. W przypadku standardowego użytkownika możliwy jest dostęp do poczty, dokumentów w chmurze, komunikatorów, systemów HR, CRM czy repozytoriów kodu. Jeśli jednak sprzedane konto należy do administratora, właściciela procesu biznesowego lub menedżera z szerokimi uprawnieniami, ryzyko rośnie skokowo.

  • przejęcie kolejnych kont i eskalacja uprawnień,
  • modyfikacja polityk bezpieczeństwa,
  • eksport danych z usług SaaS i systemów krytycznych,
  • utworzenie trwałych mechanizmów dostępu,
  • przygotowanie środowiska pod ransomware lub fraud finansowy.

Dla zespołów SOC i IAM największym wyzwaniem jest wykrycie nadużycia legalnych poświadczeń. Wymaga to analizy behawioralnej, korelacji kontekstowej i monitorowania anomalii, takich jak logowanie z nietypowej lokalizacji, użycie nowego urządzenia, dostęp poza godzinami pracy, nagły wzrost eksportu plików, tworzenie reguł przekazywania poczty czy nietypowe użycie API i tokenów sesyjnych.

Dodatkowo sprzedane loginy mogą być łączone z innymi technikami ataku, w tym z danymi z infostealerów, socjotechniką wymierzoną w helpdesk, omijaniem MFA lub przejęciem sesji przeglądarkowej. Oznacza to, że nawet organizacje z wdrożonym uwierzytelnianiem wieloskładnikowym nie są automatycznie bezpieczne, jeśli nie analizują ryzyka kontekstowego i nie chronią samej sesji użytkownika.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest utrata zaufania do tożsamości cyfrowej jako podstawowego filaru kontroli bezpieczeństwa. Jeżeli konto pracownika może zostać sprzedane i użyte przez osobę trzecią, organizacja przestaje mieć pewność, że działania wykonywane w środowisku rzeczywiście pochodzą od uprawnionego użytkownika.

W praktyce skutki mogą obejmować zarówno bezpośrednie straty finansowe, jak i długofalowe szkody operacyjne oraz reputacyjne.

  • wyciek danych wrażliwych i własności intelektualnej,
  • kompromitację skrzynek pocztowych i platform chmurowych,
  • nadużycia procesów płatniczych i fraud,
  • uzyskanie przyczółka do dalszego ruchu bocznego,
  • przygotowanie lub uruchomienie ataku ransomware,
  • naruszenie wymagań regulacyjnych i zgodności,
  • wzrost kosztów dochodzenia powłamaniowego i odbudowy środowiska.

Warto podkreślić, że insider risk nie zawsze oznacza działanie jawnie wrogiego pracownika. Część incydentów może wynikać z lekceważenia zasad, oportunizmu finansowego, niskiej świadomości lub błędnej oceny skutków jednorazowego przekazania dostępu. Ta szara strefa pomiędzy celowym nadużyciem a nieodpowiedzialnością sprawia, że problem trudno ograniczyć wyłącznie formalnymi politykami.

Rekomendacje

Organizacje powinny traktować sprzedaż poświadczeń jako realny scenariusz zagrożenia, a nie hipotetyczny przypadek nadużycia. Skuteczna obrona wymaga połączenia kontroli technicznych, procesowych i organizacyjnych oraz odejścia od założenia, że poprawne logowanie zawsze oznacza legalnego użytkownika.

  • wdrożenie zasady least privilege i redukcja stałych uprawnień uprzywilejowanych,
  • stosowanie silnego MFA odpornego na phishing i przejęcie sesji,
  • ciągłe monitorowanie zachowań użytkowników oraz analityka UEBA,
  • korelacja logów z IdP, VPN, EDR, poczty, SaaS i CASB,
  • wykrywanie nietypowego eksportu danych i podejrzanych reguł pocztowych,
  • okresowe przeglądy uprawnień oraz usuwanie kont osieroconych,
  • segmentacja dostępu do systemów krytycznych,
  • stosowanie just-in-time access dla kont administracyjnych,
  • szkolenia z zakresu insider threat, fraudu i odpowiedzialności za konto służbowe,
  • jasne procedury zgłaszania prób nakłaniania do sprzedaży dostępu,
  • skuteczny offboarding i natychmiastowa dezaktywacja kont po odejściu pracownika,
  • testy red team oraz ćwiczenia symulujące nadużycie legalnych kont.

Kluczowe znaczenie ma także kultura bezpieczeństwa. Pracownicy muszą rozumieć, że konto służbowe nie jest prywatnym zasobem, lecz elementem infrastruktury krytycznej organizacji. Bez tej świadomości nawet najbardziej zaawansowane narzędzia ochronne nie zagwarantują odpowiedniego poziomu bezpieczeństwa.

Podsumowanie

Dane wskazujące, że co ósmy pracownik przyznaje się do sprzedaży firmowych danych logowania lub zna taki przypadek, pokazują skalę problemu i jego rosnące znaczenie dla bezpieczeństwa tożsamości. To zagrożenie omija wiele tradycyjnych mechanizmów obronnych, ponieważ opiera się na legalnych kontach, prawidłowych uprawnieniach i standardowych ścieżkach dostępu.

Dla organizacji oznacza to konieczność przesunięcia uwagi z samej ochrony perymetru na ciągłą weryfikację tożsamości, analizę zachowań użytkowników i ograniczanie skutków nadużycia legalnego dostępu. W nowoczesnym krajobrazie zagrożeń to właśnie kontrola tożsamości, uprawnień i kontekstu sesji staje się jednym z najważniejszych obszarów obrony.

Źródła

  • Cifas – One in eight workers (13%) admit to selling company logins, Cifas research reveals — https://www.cifas.org.uk/newsroom/workplace-fraud-trends-2026
  • Infosecurity Magazine – One in Eight Workers Has Sold Their Corporate Logins — https://www.infosecurity-magazine.com/news/one-eight-workers-sold-corporate/
  • DTEX – Insider Risk Costs Hit $19.5M USD Per Year as AI Creates New Blind Spots — https://www.globenewswire.com/news-release/2026/02/24/3243891/0/en/insider-risk-costs-hit-19-5m-usd-per-year-as-ai-creates-new-blind-spots.html
  • Socura – Over 460k instances of stolen employee credentials discovered across FTSE 100, Socura report reveals — https://www.prnewswire.com/news-releases/over-460k-instances-of-stolen-employee-credentials-discovered-across-ftse-100-socura-report-reveals-302618162.html
  • KELA / omówienie raportu – Quase 2,9 bilhões de credenciais foram vazadas em 2025, aponta relatório — https://www.tecmundo.com.br/seguranca/412776-quase-29-bilhoes-de-credenciais-foram-vazadas-em-2025-aponta-relatorio.htm