Archiwa: GDPR - Security Bez Tabu

Tag: GDPR

Checkout.com: incydent z „legacy” chmurą, próba szantażu ShinyHunters i nietypowa odpowiedź firmy

Wprowadzenie do problemu / definicja luki

Globalny operator płatności Checkout.com ujawnił naruszenie danych po próbie szantażu. Atakujący uzyskali dostęp nie do platformy przetwarzania płatności, lecz do dziedziczonego („legacy”) zewnętrznego systemu plików w chmurze, używanego w okolicach 2020 r. – zbiory dotyczyły m.in. dokumentów operacyjnych i materiałów onboardingowych dla merchantów. Firma podkreśla, że środki klientów ani numery kart nie były zagrożone. Checkout.com zadeklarował, że nie zapłaci okupu, a równowartość żądania przekaże na badania nad cyberprzestępczością (CMU i Oxford).

W skrócie

  • Data ujawnienia: 12–14 listopada 2025 r. (oświadczenie CTO + publikacje branżowe).
  • Wektor: dostęp do niewłaściwie zdekomisjonowanego zewnętrznego systemu plików w chmurze („legacy, third-party cloud file storage”).
  • Zakres: firma szacuje, że dotyczy to <25% obecnej bazy merchantów; brak dostępu do środków i numerów kart.
  • Sprawcy/brand: roszczenia przypisała sobie grupa ShinyHunters; sprawa osadzona jest w szerszym trendzie Scattered LAPSUS$ Hunters (federacja ShinyHunters/LAPSUS$/Scattered Spider).
  • Postawa firmy: brak płatności okupu + deklaracja darowizny na badania (CMU, Oxford).

Kontekst / historia / powiązania

ShinyHunters to znana grupa wymuszająca publikację danych (data extortion), która w 2025 r. bywa łączona w szersze przedsięwzięcie komunikacyjne określane jako Scattered LAPSUS$ Hunters (SLH) – luźna federacja łącząca TTPs kilku głośnych grup, nastawiona na wykradanie danych i szantaż medialny, niekoniecznie szyfrowanie środowisk ofiary. Ten paradygmat opiera się na szybkiej eskalacji PR (leaki, witryny DLS, Telegram) i wykorzystaniu błędów operacyjnych ofiar (np. niewyłączone integracje, stare zasoby chmurowe).

W przypadku Checkout.com, pierwsze doniesienia branżowe potwierdziły extortion attempt oraz to, że nie chodzi o „core” platformę (acquiring/processing), tylko o poboczny, historyczny zasób w chmurze.

Analiza techniczna / szczegóły luki

„Zombie w chmurze”: jak powstaje luka

Najczęstsze przyczyny ekspozycji „legacy cloud file storage”:

  1. Niepełna utylizacja zasobu – bucket / storage account pozostaje aktywny po migracji.
  2. Słabe tożsamości/aplikacje – zapomniane konta serwisowe, klucze dostępu, stare tokeny OAuth/refresh.
  3. Niewłaściwe ACL/udostępnienia – publiczne linki, szerokie „AllUsers/AllAuthenticatedUsers”.
  4. Brak SPM (Secret/Key Management) – klucze w repo, w starych CI/CD, na share’ach.
  5. Shadow IT / „3rd-party sprawl” – vendorowe konta w chmurach, poza centralnym zarządzaniem.

Typowe artefakty i ścieżki dostępu

  • Obiekty: PDF/DOCX onboarding, KYC/KYB, eksporty CSV, zrzuty konfiguracji.
  • Ślady w logach: GetObject, ListBucket, GetBlob, File.Read z rzadkich agentów i nietypowych ASN/VPN.
  • Kanały exfilu: bezpośredni zrzut przez API, czasem via skrypty Rclone/gsutil/azcopy.

Dlaczego „brak kart” i „brak środków” ma sens

System plików pomocniczych zwykle nie przechowuje PAN/CVV ani nie ma połączeń do środowisk PCI (segmentacja). Jeżeli tokenizacja i vault są w osobnych, „hardened” domenach, ryzyko się ogranicza do danych biznesowych/handlowych i PII merchantów – wciąż wrażliwych pod kątem fraudu B2B, spear-phishingu i supply-chain. (Potwierdzenie deklaracji firmy o braku numerów kart i środków: patrz oświadczenie CTO).

Praktyczne konsekwencje / ryzyko

  • Ryzyko łańcucha dostaw (TPRM): wyciek onboardingowych pakietów merchantów ułatwia impersonację (np. faktury, zmiana rachunku, BEC) i fraud na wypłatach.
  • Ryzyko compliance: potencjalne RODO/UK-GDPR (PII merchantów/osób kontaktowych), obowiązki notyfikacyjne wobec regulatorów finansowych.
  • Ryzyko operacyjne: wzrost SOC-volume (skany, próby logowania, phishing), konieczność reissuance kluczy API/sekretów, rotacja danych KYC.
  • Ryzyko reputacyjne: presja mediów i klientów; atakujący wykorzystują „narrację” brandu SLH do eskalacji żądań.

Rekomendacje operacyjne / co zrobić teraz

Poniżej gotowa checklista do użycia z zespołem IR/SecOps/Cloud (AWS/Azure/GCP analogicznie):

1) Natychmiastowe działania IR

  • Zamroź dostęp do zidentyfikowanego zasobu (deny-all / private endpoint / off-board).
  • Rotacja sekretów: klucze dostępu, SAS tokens, service principals, OAuth/refresh tokens, webhooks w integracjach.
  • Kontakt do podmiotów dotkniętych (merchanci/partnerzy), wstępne zawężenie atrybutów danych (zakres, daty, typy plików).
  • Zgłoszenia do regulatorów i organów ścigania (w UE: 72h RODO, w finansach – właściwi regulatorzy).

2) Telemetria i hunting (przykłady)

AWS S3 (CloudTrail Lake / Athena)

-- enumeracja podejrzanych operacji z rzadkich ASN
SELECT eventTime, userIdentity.sessionContext.sessionIssuer.arn AS principal,
       sourceIPAddress, requestParameters.bucketName, eventName, userAgent
FROM cloudtrail_logs
WHERE eventSource='s3.amazonaws.com'
  AND eventName IN ('GetObject','ListBucket','GetObjectAcl')
  AND sourceIPAddress NOT LIKE '10.%'
  AND from_iso8601_timestamp(eventTime) >= timestamp '2025-10-15';

Azure Storage (Log Analytics / KQL)

StorageBlobLogs
| where OperationName in ("GetBlob","ListBlobs","GetBlobProperties")
| where TimeGenerated > ago(60d)
| summarize cnt=count(), ips=make_set(CallerIpAddress) by AccountName, PrincipalId, OperationName, bin(TimeGenerated, 1d)
| order by cnt desc

GCP Cloud Storage (Audit Logs / BigQuery)

SELECT protopayload_auditlog.authenticationInfo.principalEmail AS principal,
       protopayload_auditlog.requestMetadata.callerIp AS ip,
       protopayload_auditlog.methodName AS method,
       resource.labels.bucket_name AS bucket,
       timestamp
FROM `project.logging.cloudaudit_googleapis_com_data_access_*`
WHERE protopayload_auditlog.serviceName = 'storage.googleapis.com'
  AND protopayload_auditlog.methodName IN ('storage.objects.get','storage.objects.list')
  AND timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY);

Sigma (uniwersalne) – masowe listowanie/eksfil plików przez „nietypowego” UA

title: Suspicious Cloud Object Bulk Access
logsource: category: webserver
detection:
  selection:
    cs-method|endswith:
      - GetObject
      - ListBucket
      - GetBlob
  filter_known_agents:
    cs-useragent:
      - 'aws-sdk/*'
      - 'Google-Cloud-Storage'
  condition: selection and not filter_known_agents
level: high

3) Twarde wyłączenie „martwych” zasobów w chmurze

  • Inwentaryzacja krzyżowa: CSPM + skanowanie API (np. aws s3 ls --profile legacy-account / az storage account list / gsutil ls -p <ID>).
  • Policy-as-code: globalne block public access, wymuszony KMS, lifecycle na auto-delete.
  • Kontrola tożsamości: znalezienie starych SP (az ad sp list --filter "appOwnerOrganizationId ne null" / przegląd IAM Roles bez rotacji).
  • „Third-party registry”: rejestr wszystkich zewnętrznych chmur/vendorów z cyklem życia i właścicielem (DPP – Data Processing Partners).

4) Komunikacja i PR bezpieczeństwa

  • Transparentne fakty techniczne (co, kiedy, czego nie obejmuje) – tak jak zrobił Checkout.com w swoim oświadczeniu.
  • Brak negocjacji na publicznych kanałach; zespół prawny monitoruje DLS/Telegram.
  • Oferta wsparcia dla dotkniętych partnerów (monitoring fraudu B2B, guidance dot. SPF/DKIM/DMARC, rotacja kluczy).

5) GRC i trwałe usprawnienia

  • Proces dekomisjonowania (runbook + kontrola dowodowa): owner → backup → wipe → tag „to-delete” → automatyczne zamknięcie IAM/Network → potwierdzenie (4-eyes).
  • TPRM: weryfikacja vendorów, szczególnie „third-party storage / file exchange”; audyty konfiguracji i SSO.
  • Table-top exercise dedykowany do data extortion bez szyfrowania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nie ransomware, a „pure data extortion”: brak szyfrowania, presja medialna + groźba publikacji.
  • Wejście przez „legacy third-party” vs. zero-day w core: ścieżka ataku omija „korowe” kontrole (PCI segment), wykorzystuje zapomniane peryferia.
  • Narracja SLH: federacyjny „brand” łączący TTPs i PR – widzieliśmy to przy kampaniach wymierzonych w integracje Salesforce w 2025 r. (publiczne „listy ofiar”, taktyki nagłaśniania).

Podsumowanie / kluczowe wnioski

  1. Największym ryzykiem nie był core processing, lecz „osierocone” zasoby chmurowe – klasyczny błąd operacyjny. 2) Dane onboardingowe i operacyjne mają znaczną wartość dla przestępców (fraud B2B, BEC, socjotechnika). 3) Model extortion-only wymaga osobnych playbooków IR (szybka inwentaryzacja danych, komunikacja, TPRM). 4) Decommissioning-by-design i centralny rejestr vendorów to obowiązkowy element higieny chmury. 5) Postawa „no-pay + darowizna” buduje narrację odporności, ale nie zastąpi twardych kontroli technicznych.

Źródła / bibliografia

  • Oświadczenie CTO Checkout.com (legacy 3rd-party storage, <25% merchant base, brak kart/środków, darowizna na CMU/Oxford). (Checkout)
  • SecurityWeek: podsumowanie incydentu i przypisanie do ShinyHunters, kontekst SLH. (SecurityWeek)
  • BleepingComputer: brak wskazania konkretnego dostawcy storage, potwierdzenie decyzji o darowiźnie zamiast okupu. (BleepingComputer)
  • The Register: relacja z cytatami deklaracji „We will not pay this ransom”. (The Register)
  • Trustwave SpiderLabs: analiza fenomenu Scattered LAPSUS$ Hunters i ich TTPs (kontekst kampanii 2025). (Trustwave)

NHS: Synnovis zaczyna informować pacjentów o publikacji danych – po ataku Qilin z czerwca 2024 r.

Wprowadzenie do problemu / definicja luki

Synnovis – dostawca usług diagnostyki laboratoryjnej dla kilku londyńskich trustów NHS – został 3 czerwca 2024 r. zaatakowany przez grupę ransomware Qilin. Skutkiem były poważne zakłócenia świadczeń, a część danych pacjentów trafiła na stronę wyciekową przestępców. Po zakończeniu długiej analizy śledczej Synnovis rozpoczął teraz formalny proces powiadamiania organizacji NHS, których dane znajdują się w zbiorze wykradzionym i opublikowanym przez napastników. Zgodnie z brytyjskim prawem to poszczególni świadczeniodawcy mają informować konkretnych pacjentów.

W skrócie

  • Kto? Synnovis (usługi patologii i diagnostyki) – partner m.in. King’s College Hospital i Guy’s & St Thomas’. Atakujący: Qilin (ransomware).
  • Kiedy? Atak 3 czerwca 2024 r.; dane opublikowano w czerwcu 2024 r.; aktualizacja: Synnovis zakończył przegląd śledczy i do 21 listopada 2025 r. przekaże powiadomienia do wszystkich organizacji, których dane są w zbiorze.
  • Co wyciekło? M.in. dane identyfikacyjne (imię, nazwisko, data urodzenia, numer NHS) oraz formularze patologii/histopatologii, czasem z wrażliwymi objawami (np. nowotwory, choroby przenoszone płciowo).
  • Skala? Analizy podmiotów trzecich sugerują >900 tys. osób dotkniętych – oficjalny licznik nie został podany.
  • Wpływ kliniczny: tysięczne odwołania wizyt i zabiegów; w mediach branżowych odnotowano powiązanie incydentu z co najmniej jednym zgonem.

Kontekst / historia / powiązania

Po ataku z 3 czerwca 2024 r. w regionie południowo-wschodniego Londynu odwoływano zabiegi i wizyty, szczególnie dotknięte były banki krwi oraz planowe operacje. W kolejnych tygodniach Qilin zaczął publikować próbki skradzionych danych, w tym rekordy badań dotyczących m.in. HIV i nowotworów. W 2025 r. – w miarę prac analitycznych – NHS na bieżąco publikował Q&A dla opinii publicznej. 10 listopada 2025 r. pojawiła się informacja, że śledztwo Synnovis zostało domknięte i rusza sekwencja powiadomień na poziomie organizacji (trusty, GP, inne podmioty).

Analiza techniczna / szczegóły luki

Łańcuch ataku i TTPs (wysoki poziom): Qilin to ekosystem RaaS stosujący klasyczny model double extortion – szyfrowanie + publikacja danych na stronie wyciekowej. Po początkowym włamaniu (wektor nie został publicznie potwierdzony), atakujący uzyskali dostęp do systemów Synnovis, co doprowadziło do zakłóceń usług oraz eksfiltracji plików. Publikacja danych miała charakter stopniowy (samples → większe paczki), co jest typową taktyką zwiększania presji. (Wnioski na bazie raportów prasowych i komunikatów instytucji; brak pełnej publikacji IOCs przez Synnovis/NHS.)

Charakter danych: Najbardziej wrażliwą część stanowiły formularze patologia/histologia, które służą do przekazywania informacji między jednostkami medycznymi – zawierają opisy objawów i kontekstu klinicznego (np. podejrzenie STI, rodzaj zmiany nowotworowej). Zidentyfikowano także dane identyfikacyjne i, w części przypadków, dane kontaktowe. To dokładnie te typy informacji, które w kontekście RODO (UK GDPR) kwalifikują się jako szczególne kategorie danych osobowych.

Dlaczego analiza trwała tak długo? Synnovis informuje, że skradziony zestaw był „nieustrukturyzowany, niekompletny i fragmentaryczny”, co wymagało użycia specjalistycznych platform do korelacji i odtwarzania właścicieli danych (data controllers/processors). Dopiero po takim forensicu możliwe było mapowanie rekordów do konkretnych organizacji NHS i ich pacjentów. Ten etap zakończono i wyznaczono termin zakończenia powiadomień organizacji na 21 listopada 2025 r.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko prywatności: Ujawnienie informacji o stanie zdrowia (STI, onkologia) może prowadzić do szkód psychologicznych, stygmatyzacji, szantażu i doxingu. Nawet bez numerów dokumentów medyczne formularze mają wysoką wartość dla oszustów (phishing na „wyniki badań”, podszywanie się pod NHS).
  2. Ryzyko oszustw ukierunkowanych: SEL ICS i NHS podkreślają, że Synnovis nie kontaktuje pacjentów bezpośrednio – powiadomienia przyjdą z organizacji NHS. Każda prośba o dane/ płatność „w imieniu Synnovis” powinna być traktowana jako phishing.
  3. Ryzyko operacyjne: Zakłócenia w bankach krwi i diagnostyce obrazują, jak ataki na laboratoria wpływają kaskadowo na cały łańcuch świadczeń (od kwalifikacji do zabiegu po opiekę pooperacyjną). Media branżowe odnotowały także związek incydentu z co najmniej jednym zgonem.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji NHS, laboratoriów i dostawców (CIO/CISO/IG Leads)

  1. Proces powiadomień i rejestr
    • Skonsoliduj listy pacjentów zgodnie z informacją od Synnovis; przygotuj szablony pism, FAQ i landing page z aktualnościami.
    • Zadbaj o spójność komunikacji: „powiadamia organizacja NHS, nie Synnovis”.
  2. Zarządzanie ryzykiem prawnym i zgodnością
    • Rewizja DPIA/ROPA dla strumieni danych patologii/histologii; wzmocnienie podstaw przetwarzania i minimalizacji danych.
    • Przygotuj odpowiedzi na pytania ICO i pacjentów dotyczące kategorii danych oraz okresów retencji.
  3. Bezpieczeństwo techniczne (priorytety krótkoterminowe)
    • Segmentacja i zasada najmniejszego uprzywilejowania między LIS/LIMS, PACS, EPR/EMR i interfejsami wymiany (HL7/FHIR).
    • Backupy offline i procedury odtwarzania LIMS; testy odtworzeniowe.
    • Monitoring wycieku danych: wyszukuj artefakty Synnovis w SIEM/TI (skrótowe nazwy formularzy, formaty zleceń, identyfikatory).
    • Kontrola poczty i alerty anty-phishingowe na kampanie podszywające się pod NHS/Synnovis (DMARC, brand indicators).
    • Wymuszenie MFA i kluczy sprzętowych dla dostępów uprzywilejowanych do LIMS/VPN/VDA.
  4. Długoterminowo
    • Zero Trust dla integracji laboratoryjnych; broker API / gateway z inspekcją treści HL7/FHIR, DLP i tokenizacją pól wrażliwych.
    • Klastry izolowane dla przetwarzania formularzy patologii; szablony formularzy pozbawione wolnego tekstu, by ograniczyć wrażliwe narracje kliniczne.
    • Szczegółowe runbooki: tryby „degradacji” usług (paper-back, priorytetyzacja badań krytycznych, manualne transfuzje).

Dla pacjentów

  • Sprawdzaj aktualizacje na stronach swojego świadczeniodawcy/NHS; nie odpowiadaj na SMS/e-maile proszące o płatności lub dane w imieniu Synnovis.
  • Jeśli obawiasz się ekspozycji, wystąp o notatkę w dokumentacji („flag for enhanced verification”) i rozważ kod bezpieczeństwa do umawiania wizyt.

Różnice / porównania z innymi przypadkami

W porównaniu z typowymi incydentami w szpitalach, atak na dostawcę patologii generuje efekt domina: jeden LIMS obsługuje wiele trustów i GP, więc pojedynczy punkt awarii paraliżuje szeroki obszar. To tłumaczy tysięczne odwołania świadczeń w Londynie po czerwcu 2024 r. – skala zaburzeń była większa niż przy wielu pojedynczych atakach na szpitale, bo dotyczyła wspólnego węzła usługowego.

Podsumowanie / kluczowe wnioski

  • Synnovis zakończył badanie forensyczne i do 21 listopada 2025 r. powiadomi wszystkie organizacje NHS, których dane znalazły się w wycieku Qilin; następnie to te organizacje zaczną kontaktować pacjentów.
  • Najbardziej wrażliwe były formularze patologii/histologii – ryzyko szkód prywatności i celowanych oszustw jest realne.
  • Systemowa odporność łańcucha diagnostycznego (LIMS ↔ EPR/EMR ↔ banki krwi) to priorytet: segmentacja, backupy offline, runbooki degradacji i Zero Trust dla interfejsów klinicznych.

Źródła / bibliografia

  1. Synnovis – komunikat: zakończenie przeglądu forensycznego i harmonogram powiadomień (11–12 listopada 2025). (Synnovis)
  2. NHS England – strona incydentu Synnovis i Q&A (aktualizacja 10 listopada 2025). (NHS England)
  3. The Record (Recorded Future News) – informacja o rozpoczynających się powiadomieniach pacjentów i tle sprawy. (The Record from Recorded Future)
  4. Computer Weekly – przegląd skutków klinicznych i informacji o publikacji danych; wzmianka o śmiertelnym incydencie powiązanym. (Computer Weekly)
  5. BleepingComputer – podsumowanie komunikatu Synnovis i terminu 21 listopada 2025 r. (BleepingComputer)

Systemy Biometryczne: Architektura, Podatności i Zabezpieczenia

Czym są systemy biometryczne?

Systemy biometryczne wykorzystują cechy fizyczne lub behawioralne do identyfikacji i uwierzytelniania osób. Biometria obejmuje m.in. cechy fizjologiczne (twarz, tęczówka, odcisk palca, geometria dłoni, siatkówka oka) oraz behawioralne (głos, podpis odręczny, chód, sposób pisania na klawiaturze). W odróżnieniu od tradycyjnych metod (hasła, PIN-y, karty dostępu), cech biometrycznych nie da się zgubić ani zapomnieć, a próby oszukania systemu przez wykradzenie cech są trudniejsze – przynajmniej w teorii.

Czytaj dalej „Systemy Biometryczne: Architektura, Podatności i Zabezpieczenia”

LPI Security Essentials (Moduł 022.4) -Szyfrowanie Danych

Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Czytaj dalej „LPI Security Essentials (Moduł 022.4) -Szyfrowanie Danych”

LPI Security Essentials (Moduł 021.3) – Responsible Disclosure I Etyka

Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Czytaj dalej „LPI Security Essentials (Moduł 021.3) – Responsible Disclosure I Etyka”

Glosariusz Kluczowych Terminów Dyrektywy NIS2

Dlaczego warto znać te pojęcia?

Dyrektywa NIS2 stawia przed organizacjami szereg nowych wymogów z zakresu cyberbezpieczeństwa. Zrozumienie specjalistycznych terminów używanych w regulacjach i wytycznych NIS2 jest kluczowe dla menedżerów, specjalistów IT oraz ekspertów ds. cyberbezpieczeństwa odpowiedzialnych za zgodność z tymi przepisami.

Czytaj dalej „Glosariusz Kluczowych Terminów Dyrektywy NIS2”

Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h

Dlaczego raportowanie incydentów stało się kluczowe w dyrektywie NIS2

Dyrektywa NIS2 (Network and Information Systems Directive 2) wprowadza jednolite wymogi w całej UE dotyczące cyberbezpieczeństwa, w tym obowiązek szybkiego zgłaszania poważnych incydentów bezpieczeństwa. Organizacje uznane za podmioty kluczowe lub istotne (ang. essential and important entities) muszą raportować incydenty o znaczącym wpływie na usługi zgodnie z zasadą 24h/72h.

Czytaj dalej „Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h”