Dane logowania do pewnych polskich serwisów rządowych wyciekły od użytkowników zainfekowanych malware [raport DarkTracer]

Darktracer opublikował niedawno ten wpis:

Zanim przejdziemy do domen i statystyk, dwa słowa komentarza:

• Nie doszło do włamania do tych serwisów
• Dane logowania wyciekły najpewniej w wyniku działania malware na komputerze osoby, która się logowała do danego serwisu
• Potencjalnie mogą to być zarówno osoby uzyskujące dostęp do swojego konta jak i konta ~administracyjne (zależy to m.in. od charakteru danego serwisu)
• Nie ma pewności, że mowa o jednym malware czy o kilku różnych tej samej klasy
• Część danych logowania być może już jest zmieniona (w raporcie nie ma wskazanej daty pozyskania danych logowania)
• Część kont posiada (oby) 2FA. To przy założeniu jeśli dany serwis w ogóle wspiera dwuczynnikowe uwierzytelnienie.
  
  W raporcie Darktracer hxxps://docs[.]google.com/spreadsheets/d/1KC615oNu1GJN4hymAR1Hxe1M46WG_FW4UMmHWbD3y3s/htmlview widoczne są takie domeny (w nawiasie wskazana liczba par logowania, które zostały wykradzione przez stealera/stealery):

• pz.gov.pl (818)
• puesc.gov.pl (226)
• nsp2021.spis.gov.pl (144)
• ekrk.ms.gov.pl (108)
• epuap.gov.pl (94)
• sso.arimr.gov.pl (61)
• zip.nfz.gov.pl (57)
• programs.nawa.gov.pl (56)
• loteriaparagonowa.gov.pl (39)
• ppuslugi.mf.gov.pl (31)
• raport.stat.gov.pl (31)
• www-2.puesc.gov.pl (23)
• ewniosek.arimr.gov.pl (20)
• broker.praca.gov.pl (19)
• moj.gov.pl (18)
• diety.nfz.gov.pl (18)
• kuratorium.bydgoszcz.uw.gov.pl (14)
• eploz.ezdrowie.gov.pl (13)
• rejestr-bdo.mos.gov.pl (13)

~ms