Cicha kradzież danych. Służbowe maile trafiały w niepowołane ręce

„(…) 22 grudnia 2025 r. stwierdzono, że doszło do naruszenia ochrony Państwa danych osobowych. Naruszenia dopuścił się anonimowy haker. (…) 13 grudnia 2025 r. podczas czynności serwisowych funkcjonującej poczty Szkoły Podstawowej im. Ks. Prof. J. Tischnera w Ochotnica Dolnej na serwerze Gminy Ochotnica Dolna zostało ujawnione nieautoryzowane przekierowanie wiadomości przychodzących kont pocztowych struktur administracyjnych, wykorzystywanych w Szkole” – czytamy w zawiadomieniu na stronie Gminy Ochotnica Dolna (woj. małopolskie). Obecnie trwa weryfikacja zakresu danych osobowych, jaki uległ naruszeniu bezpieczeństwa oraz jak długo przekierowywano wiadomości.

Podobny incydent w polskiej firmie

Nie tylko gmina z powiatu nowotarskiego poinformowała o takim incydencie. Na stronie metalhurt.com.pl możemy przeczytać, że pomiędzy 25 stycznia a 15 grudnia 2025 roku automatycznie przekierowywano wiadomości z trzech kont mailowych pracowników na nieznane firmie konto pocztowe.

Zakres naruszenia mógł obejmować poniższy zestaw danych kontrahentów i klientów:

• imię i nazwisko;
• adres zamieszkania lub działalności firmy;
• adres e-mail;
• numer telefonu;
• numer konta bankowego.

Znaczenie reguł skrzynki

Niedawno informowaliśmy o nieuprawnionym dostępie do skrzynki mailowej w powiecie świdnickim (woj. lubelskie). W 2025 widzieliśmy inne przypadki tego typu, m.in. w Gminnym Ośrodku Pomocy Społecznej w Fredropolu, Urzędzie Zamówień Publicznych czy Instytucie Immunologii i Terapii Doświadczalnej.

W przeszłości podobny incydent miał miejsce także w Gminie Tczów – przekierowania na pięciu skrzynkach mailowych funkcjonowały od 26 do 30 marca 2023 roku. W zawiadomieniu potwierdzono również włamania na konta.

Przekierowania e-maili na zewnętrzny adres to jeden z elementów utrzymania nieprzerwanego dostępu do danych (ang. persistence). Zgodnie z MITRE ATT&CK (T1114.003), reguły przekierowywania „mogą pozwolić atakującym utrzymać stały dostęp do poczty ofiary nawet po tym, jak administratorzy zresetują przejęte dane logowania”. Ta technika była wykorzystywana m.in. przez północnokoreańską grupę „Kimsuky” czy popularne ostatnio „Scattered Spider” – to oczywiście nie oznacza, że którakolwiek z wymienionych grup odpowiada za incydenty.

Kluczowe pozostaje też ustalenie tego, jak doszło do ustawienia reguł. Prawdopodobnie jest to związane z nieuprawnionym dostępem (włamaniem) do konta. Mogło do tego dojść wskutek m.in. wyłudzenia poświadczeń logowania podczas udanego ataku phishingowego lub wykorzystania danych z wycieku.

Jak się zabezpieczyć?

Niezmiennie kluczowym elementem bezpieczeństwa naszych kont pozostaje dwuetapowe uwierzytelnianie, dzięki temu zalogowanie się do naszego konta wymaga podania „dodatkowego składnika”, co uniemożliwia dostęp do konta za pomocą wykorzystania jedynie loginu i hasła.

2FA znacznie zwiększa poziom bezpieczeństwa naszych kont, co opisywaliśmy szerzej w artykule na łamach naszego portalu.

Niezmiennie należy pamiętać o odpowiednio złożonych i unikalnych hasłach. Wycieki danych pokazują, że ośmioznakowe frazy wciąż bywają dominujące, a to nie napawa optymizmem.

Widzimy także, że w przypadku włamania na skrzynkę mailową, konieczne pozostaje nie tylko zmienienie danych dostępowych, lecz również przeanalizowanie reguł danego konta. Przekierowywanie wiadomości to „cicha kradzież danych”, która może trwać miesiącami, co pokazuje przykład wspomnianego polskiego przedsiębiorstwa.

Bezpieczeństwo danych

Jeżeli podejrzewamy, że nasze dane osobowe uległy naruszeniu ochrony, warto podjąć następujące kroki:

• zastrzeżenie numeru PESEL;
• rozważenie korzystania z rozwiązań BIK lub ChrońPESEL;
• zachowanie ostrożności wobec potencjalnych prób kontaktu;
• kontakt z inspektorem ochrony danych osobowych.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.