- WIADOMOŚCI
Incydent u polskiego hostingodawcy. Urząd: włam na maila
Polski urząd poinformował o nieuprawnionym dostępie do maili w swojej domenie. Wiadomo jednak, że zdarzenie dotyczy hostingodawcy poczty e-mail, który potwierdził nam wystąpienie incydentu. Co ciekawe, włamanie było możliwe dzięki podatności w oprogramowaniu firmy trzeciej.
Autor. CyberDefence24
2 lutego br. Powiatowy Urząd Pracy w Aleksandrowie Kujawskim opublikował zawiadomienie o naruszeniu ochrony danych osobowych.
„Informujemy, że w dniu 23.01.2026 r. doszło do incydentu polegającego na nieuprawnionym dostępie do systemu informatycznego wykorzystywanego przez naszego dostawcę usług pocztowych w usłudze HostedWindows.pl. Dotyczy to poczty elektronicznej w domenie pup-aleksandrowkujawski.pl. W konsekwencji mogło dojść do uzyskania dostępu i/lub pozyskania danych przez osoby nieuprawnione” – czytamy w komunikacie PUP.
Naruszenie mogło dotyczyć wiadomości e-mail, które wysyłaliście Państwo na nasze skrzynki pocztowe w powyższej domenie, a w szczególności - adresu e-mail, imienia i nazwiska, adresu, numeru telefonu, nr pesel, nr dokumentów tożsamości, czyli danych które mogły znajdować się w korespondencji e-mail od Państwa do nas.
PUP Aleksandrów Kujawski
Skontaktowaliśmy się z dostawcą usług pocztowych Urzędu, który szczegółowo i niezwłocznie odpowiedział na nasze pytania.
Hostingodawca potwierdza incydent
HostedWindows.pl potwierdziło nieuprawniony dostępu do swojego systemu informatycznego. Przekazano nam, że zdarzenie dotyczy skrzynek pocztowych, które nie wykorzystywały dwuetapowego uwierzytelniania (2FA.
Poniżej znajduje się kilka naszych pytań i odpowiedzi firmy:
Oskar Klimczuk, CyberDefence24: Do ilu skrzynek mailowych uzyskali dostęp atakujący?
HostedWindows.pl: Dotyczyło to niewielkiego systemu hostingowego www z dodaną funkcjonalnością usługi pocztowej. System działa w wyizolowanej infrastrukturze.
Jaki był przedział czasowy potencjalnego dostępu do danych?
Okres pomiędzy nieuprawnionym dostępem a wykryciem tego przez nas był bardzo krótki.
Czy odnotowano eksfiltrację danych?
Mogło dojść do takiej sytuacji dla skrzynek niezabezpieczonych 2FA.
Czy wykryto tworzenie dodatkowych reguł przekierowania?
Nie wykryto tego podczas analizy.
Czy logowanie na skrzynkę umożliwiało lub wymagało dwuetapowego uwierzytelniania?
Jeśli na skrzynce było zabezpieczenie 2fa skrzynka nie została objęta incydentem.
Powiadamianie o incydencie
W komunikacie aleksandrowskiego PUP znalazła się informacja o poinformowaniu UODO o zdarzeniu.
HostedWindows.pl również zawiadomiło Urząd Ochrony Danych Osobowych. Wiemy również, że policja otrzymała stosowne zgłoszenie wraz z materiałami dowodowymi. Hostingodawca przekazał nam następujące stanowisko:
Poinformowaliśmy wszystkich klientów, których dotyczył incydent, włącznie z rekomendacjami działań, które należy podjąć - m.in. przypomnienie o zabezpieczeniu dostępu do poczty uwierzytelnieniem dwuskładnikowym (2FA).
HostedWindows.pl
Jak doszło do włamania?
HostedWindows.pl poinformował nas, że nieuprawniona osoba wykorzystała „lukę w oprogramowaniu firmy trzeciej”.
Obecnie system pocztowy działa na zaktualizowanej wersji oprogramowania, gdzie podatność została „załatana” (nie występuje).
Działania po incydencie
W ramach działań naprawczych HostedWindows.pl wyróżniło m.in.:
- konieczność zmiany hasła do usługi poczty w usłudze HostedWindows.pl;
- zrestartowanie hasła dla kont (gdy klienci nie zmienili go sami);
- ograniczenie dostępu do panelu poczty do wybranych krajów;
- dodatkowe działania zabezpieczające i monitoring (aby ograniczyć ryzyko ponownego incydentu);
- migracja usługi pocztowej na wydzielone serwery;
- zawiadomienie UODO oraz innych właściwych służb i instytucji;
- poinformowanie wszystkich klientów, których dotyczył incydent włącznie z rekomendacjami działań, które należy podjąć (m.in. przypomnienie o zabezpieczeniu dostępu do poczty uwierzytelnieniem dwuskładnikowym).
Co nam pokazuje incydent?
Zdarzenie pokazuje rolę rzetelnego informowania o incydentach - o sprawie wiedzą zarówno odpowiednie organy i podmioty, których może dotyczyć naruszenie. Jednocześnie widzimy konieczność niezwłocznego aktualizowania oprogramowania (w ramach naszych możliwości).
Widzimy również, że warto wykorzystać dwuetapowe uwierzytelnianie (2FA), co zaleca się na każdym możliwym portalu.
Warto również pamiętać o szyfrowaniu w przypadku wysyłania załączników drogą e-mailową.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?