Cyberatak na Pomorzu. Wyciekły dane prawie 40 tys. osób

Jak podaje TVP3 Gdańsk, cyberprzestępcy mieli wykraść dane ponad 38 tysięcy mieszkańców Ustki i Słupska. Celem ataku był system odpowiedzialny za obsługę tamtejszych kart mieszkańca. Naruszeniu ochrony uległy poniższe rodzaje danych:

• imię i nazwisko;
• adres e-mail;
• login użytkownika.

Urzędy Słupska i Ustki komentują

Tomasz Czuczak, Sekretarz UM w Słupsku, na łamach Radia Gdańsk przekazał informację o ”pobraniu lub podejrzeniu 31 tysięcy danych”. Zaapelował o ostrożność wobec wszelkich prób oszustw z wykorzystaniem e-maili, co może być pokłosiem cyberataku.

Burmistrz Ustki Jacek Maniszewski określił skalę osób dotkniętych incydentem na 7,2 tys. osób. ”Wszystko, co hakerzy uzyskali, to adresy e-mail” – stwierdził, dodając, że nie doszło do kradzieży innych rodzajów danych.

Zgodnie z danymi GUS-u na 31.12.2025 r., incydent obejmuje 54,5% mieszkańców Ustki oraz 36,8% mieszkańców Słupska. Warto podkreślić, że zdarzenie miało miejsce poza infrastrukturą informatyczną urzędów.

Na łamach Głosu Pomorza zaznaczono, że incydent zgłoszono do CSIRT NASK oraz Urzędu Ochrony Danych Osobowych.

Bardzo byśmy prosili, aby mieszkańcy zwrócili, nie tylko dzisiaj, ale w ogóle korzystając z internetu, korzystając ze swoich skrzynek mailowych, szczególną uwagę na wiadomości e-mailowe, które zawierają różnego rodzaju linki, zawierają prośby o zalogowanie się do systemów, zwłaszcza do systemów, których w ogóle nie znamy, albo z którymi nie mieliśmy do czynienia, wiadomości nakłaniające do podania hasła lub danych osobowych. My na pewno, ani operator karty mieszkańca o takie dane nie będzie występował i nigdy nie występował
Tomasz Czuczak, , Sekretarz UM w Słupsku na łamach Głosu Pomorza (gp24.pl)

Jak się chronić?

W przypadku wycieku takiego zestawu danych kluczową rekomendacją jest nieufność wobec maili, które nakłaniają nas do podjęcia niezwłocznego działania bądź podania swoich danych.

Incydent pokazuje praktyczny wymiar zbierania wyłącznie wymaganych danych, zgodnie z art. 5 ust. 1 lit. c RODO (minimalizacja danych). Kategorie wykradzionych danych umożliwiają przeprowadzenie ataku phishingowego, lecz obiektywnie są dość wąskie w porównaniu z innymi incydentami polegającymi na kradzieży bazy danych (np. ze sklepów internetowych. To oczywiście nie powinno usypiać niczyjej czujności pod kątem cyberbezpieczeństwa.

Pamiętajmy, że niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, warto:

• zastrzec numer PESEL;
• stosować dwuetapowe uwierzytelnianie;
• korzystać z unikalnych i odpowiednio złożonych haseł.

Koszt systemów

W odpowiedzi UM Słupsk na interpelację radnego Bogusława Dobkowskiego możemy znależć informację o tym, że wieloletnie zadanie obsługi i wdrożenia Słupskiej Karty Mieszkańca wiązało się z przekazaniem dotacji w latach 2022-2024 w wysokości 482 tys. złotych. Kolejna dotacja na lata 2025-2027 wyniosła 140 tys. złotych.

Dokumenty w BIP UM Ustki z lat 2023 i 2026 wskazują, że koszt umów na ”korzystanie z systemu do obsługi Usteckiej Karty Mieszkańca” wyniósł 81 tys. złotych. Zawarte porozumienia dotyczą okresu od 1 lipca 2023 roku do 31 grudnia 2028 roku.