Tajemnice bankowe i inne wrażliwe dane Polaków latają po Docer.pl
Ktoś udostępnił w serwisie Docer.pl mnóstwo dokumentów m.in. z wykazami operacji, adresami i nazwiskami klientów polskich banków. Zakres tego wycieku zdecydowanie nie pozwala go potraktować jako drobnego incydentu. Serwis Docer.pl to “schowek na pliki”, który pozwala wygodnie przechowywać i udostępniać różne dokumenty. Ludzie z branży bezpieczeństwa i OSINT doskonale wiedzą, że na Docera trafiają dokumenty […]
Ktoś udostępnił w serwisie Docer.pl mnóstwo dokumentów m.in. z wykazami operacji, adresami i nazwiskami klientów polskich banków. Zakres tego wycieku zdecydowanie nie pozwala go potraktować jako drobnego incydentu.
Serwis Docer.pl to “schowek na pliki”, który pozwala wygodnie przechowywać i udostępniać różne dokumenty. Ludzie z branży bezpieczeństwa i OSINT doskonale wiedzą, że na Docera trafiają dokumenty z wrażliwymi danymi, zwykle w wyniku drobnych pomyłek. Już wiele lat temu pisaliśmy, że ludzie potrafią w nim udostępnić (mniej lub bardziej świadomie) skany dowodów osobistych, dokumenty bankowe, akty notarialne, dokumenty wizowe, zeznania dla skarbówki, patenty żeglarskie i wiele innych równie ciekawych rzeczy.
Znalezienie w Docerze jednego czy dwóch takich dokumentów to nic dziwnego. Gorzej, gdy pojawia się ich naprawdę dużo i wydają się pochodzić z jakiegoś jednego zbioru, który nigdy nie powinien ujrzeć światła dziennego.
Niepokojący zbiór dokumentów
Jeden z naszych Czytelników znalazł na Docerze dokument ze swoimi danymi. Co ważne – sam go nie udostępnił, a zatem musiał to zrobić ktoś inny. Dokument był wykazem operacji z mBanku, ale UWAGA, to nie oznacza, że bank był źródłem wycieku(!!!). Wykonanie kilku wyszukiwań ujawniło dużo więcej dokumentów tego typu.
Zauważcie, że jeden z dokumentów został udostępniony w drugiej połowie stycznia. Podobnych plików (tego typu i podobnie opisanych) było w Docerze znacznie więcej. Były to m.in. wykazy operacji z kont w mBanku…
…ale również dokumenty z innych banków np. z Aliora…
…albo z Santandera.
Wiele z tych dokumentów wgrano w tym roku, ale najwyraźniej część z nich była w Docerze znacznie wcześniej (np. da się znaleźć pliki opisane w identyczny sposób i o tym samym charakterze, ale wrzucone na serwis latem 2024 roku, albo jeszcze w 2023 roku). Pliki, które my znaleźliśmy często miały niedużą liczbę wyświetleń (7 lub mniej) i z tego co widzimy administracja Docera pracuje już nad ich usuwaniem.
Jedna z osób, która znalazła w ten sposób swoje dane, nagłośniła sprawę na Wykopie (wpis został już usunięty). Osoba ta postawiła tezę, że ofiarami wycieku są kredytobiorcy i jedna z możliwych wersji zdarzeń jest taka, że pośrednik kredytowy mógł w wyniku błędu upublicznić dane swoich klientów. Generalnie jednak mamy w tej sprawie więcej pytań i odpowiedzi. Źródłem wycieku nie musiały być banki, ale to one mogą pomóc w ustaleniu źródła (np. mogą wiedzieć kto miał dostęp do dokumentów konkretnych klientów).
Spytaliśmy o tę sprawę m.in. mBank, Aliora i Santandera. Jak dotąd odpowiedział nam jedynie Krzysztof Drozd z mBanku.
Analizujemy ten przypadek. Gdy będziemy mogli powiedzieć na jego temat więcej, niezwłocznie Pana poinformujemy.
Co robić? Jak żyć?
Dobrym pomysłem może być sprawdzenie, czy wasze dane (jakiekolwiek) nie latają po Docerze. Najlepiej będzie zrobić to przez Google wpisując do wyszukiwarki imię i nazwisko oraz instrukcję “site:docer.pl”. Przeszukiwanie Docera wyszukiwarką Google ma dwie zalety – bywa szybsze i znajduje również informacje o dokumentach, które mogły być w ostatnim czasie usunięte. Jeśli znajdziecie dokument z waszymi danymi, skorzystajcie z formularza kontaktowego Docera aby zgłosić dokument do usunięcia.
Generalnie dobrym pomysłem jest odpytanie wyszukiwarek o swoje dane (nie tylko na docerze) co jakiś czas. Znaleziska mogą was mocno zdziwić, albo wręcz zawstydzić.
