Brytyjska organizacja non-profit zajmująca się zwalczaniem oszustw, Cifas, opublikowała właśnie wyniki badania, które powinny zaniepokoić każdego, kto prowadzi firmę lub dokonuje w niej zakupów: co ósmy pracownik dużych przedsiębiorstw albo sprzedał dane logowania do systemu firmowego, albo zna kogoś, kto to zrobił.
W sieci krąży mnóstwo wykradzionych danych logowania, których pracownicy używają do uzyskiwania dostępu do systemów firmowych. Firma KELA zajmująca się analizą zagrożeń odnotowała w 2025 roku na całym świecie prawie 2,9 miliarda wykradzionych danych logowania. Większość z nich pochodzi z ataków phishingowych i programów wykradających dane. Jednak dzięki pracownikom, którzy chcą szybko zarobić, cyberprzestępcy mogą po prostu złożyć im ofertę.
Ludzie z wewnątrz, na których nikt nie zwraca uwagi
Organizacja Cifas przeprowadziła ankietę wśród 2000 pracowników firm zatrudniających co najmniej 1000 osób. Spośród nich 13% przyznało, że w ciągu ostatnich 12 miesięcy sprzedawało swoje firmowe dane logowania lub znało kogoś, kto to zrobił. Co zaskakujące, jak podaje raport, osoby te robiły to „często w przekonaniu, że jest to nieszkodliwe”.
Najświeższe wiadomości: Sprzedaż danych logowania do konta nie jest nieszkodliwa. Przestępcy chcą je zdobyć, aby przejąć kontrolę nad kontem i wykorzystać je do niecnych celów. Według danych firmy Verizon w zeszłym roku liczba przejęć kont w Stanach Zjednoczonych wzrosła o 6% do ponad 78 000.
Wiele przejętych kont to konta prywatne w serwisach obejmujących zarówno media społecznościowe, jak i serwisy streamingowe, a także – co oczywiste – konta bankowe. Jednak wiele innych to konta w systemach biznesowych, takich jak Microsoft 365, Salesforce i inne platformy, na których przechowywane są poufne dane firmowe. Te poufne informacje stanowią cenny towar dla przestępców, którzy mogą je następnie sprzedawać na otwartym rynku.
Twój szef ma większe szanse na sprzedaż niż ty
W idealnym przypadku właśnie w tym momencie powinna znaleźć zastosowanie powszechnie stosowana technika zwana „zasadą minimalnych uprawnień”.
Chodzi o to, by firmowe konto internetowe miało dostęp tylko do tych danych, które są mu potrzebne. Tak więc Jim z stołówki powinien mieć dostęp do systemu zamawiania posiłków, ale nie do całej bazy danych klientów. Dzięki temu nawet gdyby konto Jima zostało zhakowane, najgorsze, co mogliby zrobić atakujący, to pozbawić was jutro kiełbasek.
Problem polega na tym, że – jak wynika z raportu – osoby na wyższych stanowiskach są jeszcze bardziej skłonne do udostępniania danych logowania do swoich kont niż pracownicy niższego szczebla. Za uzasadnione uznaje to 32% kierowników wyższego szczebla, 36% dyrektorów, 43% członków kadry kierowniczej najwyższego szczebla oraz – co zaskakujące – czterech na pięciu właścicieli firm. Ze względu na pełnione przez nich funkcje nawet przy dostępie opartym na zasadzie minimalnych uprawnień ich konta mogą nadal zapewniać dostęp do wrażliwych funkcji systemowych i danych.
To nie jest problem dotyczący wyłącznie Wielkiej Brytanii
Badanie przeprowadzone przez Cifas dotyczy konkretnie Wielkiej Brytanii, ale to prawdopodobnie nie koniec. Widzieliśmy już przypadki, w których pracownicy różnych firm sprzedawali dostęp do firmowych kont lub danych. Na przykład firma Coinbase, zajmująca się kryptowalutami, ujawniła w zeszłym roku, że pracownicy firmy outsourcingowej z siedzibą w Bangladeszu sprzedali hackers dane klientów.
Wykorzystywanie skradzionych danych logowania jest powszechne. Z naszych badań wynika, że w ciągu zaledwie 30 dni doszło do wycieku danych logowania pracowników w 111 firmach z listy Fortune 500. W ujęciu długoterminowym 363 z tych firm (czyli 73%) straciło kontrolę nad co najmniej jednym zestawem danych logowania pracownika.
Sprzedaż danych logowania przez pracowników to problem nie tylko dla firm, które ich zatrudniają. To również problem dla klientów.
Kiedy hasło dyrektora trafia do sprzedaży, plik z danymi klientów może pojawić się wkrótce potem, choć prawdopodobnie to nie sam dyrektor je sprzedaje. Malwarebytes , że w 91% firm z listy Fortune 500 doszło do wycieku danych uwierzytelniających klientów, a przejęte konta stanowią doskonały sposób na uzyskanie do nich dostępu.
Ryzyko związane z osobami z wewnątrz nie jest więc tylko problemem firm. Dotyczy ono również konsumentów. To sprawia, że rzadziej udostępniamy nasze dane osobowe dużym przedsiębiorstwom, nie pytając, dlaczego ich potrzebują.
Twoje imię i nazwisko, adres oraz numer telefonu są prawdopodobnie już w sprzedaży.
Firmy zajmujące się handlem danymi gromadzą i sprzedają Twoje dane osobowe każdemu, kto jest skłonny za nie zapłacić.Personal Data Remover Malwarebytes Personal Data Remover je i usuwa Twoje dane, a następnie czuwa nad tym, by tak pozostało.
