Włamanie na maila polskiej kliniki medycznej

„Nasz dostawca usług poczty elektronicznej poinformował nas o wykryciu w dniu 30 kwietnia 2026 roku nieautoryzowanego dostępu do jednego z serwerów obsługujących naszą korespondencję elektroniczną. W wyniku tego ataku osoby nieuprawnione mogły uzyskać dostęp do treści wiadomości e-mail wymienianych z naszą placówką” – czytamy w komunikacie Zdrojowa Clinic Lubuskie Centrum Gastroenterologii i Hepatologii Dariusz Giezowski z 8 maja br.

Wśród kategorii danych, których bezpieczeństwo uległo naruszeniu znalazły się:

• adresy e-mail;
• numery telefonów;
• adresy zamieszkania i korespondencyjne;
• imię i nazwisko;
• numer PESEL;
• dokumentacja medyczna oraz informacje o stanie zdrowia.

Incydent został zgłoszony do Prezesa UODO. Klinika złożyła zawiadomienie o możliwości popełnienia przestępstwa.

Jak do tego doszło?

W komunikacie kliniki wskazano, że do ataku doszło wskutek włamania do jednego z serwerów obsługujących korespondencję.

Należy podkreślić, że w odróżnieniu do wielu incydentów dotyczących poczty elektronicznej, tym razem nie zaatakowano pojedynczego konta użytkownika w oparciu o ponowne wykorzystanie haseł (np. pochodzących z wycieków czy wyłudzonych poprzez phishing).

W zawiadomieniu nie wymieniono wprost sposobu w jaki uzyskano nieuprawniony dostęp, lecz warto odnotować datę wykrycia włamania, czyli 30 kwietnia 2026 roku. To właśnie tego dnia CERT Polska informował o aktywnym wykorzystywaniu krytycznej podatności (CVE-2026-41940) w oprogramowaniu cPanel oraz WebHost Manager. Wspomniane środowiska służą do zarządzania hostingiem – zarówno dla właściciela serwera (WHM) oraz pojedynczego użytkownika (cPanel).

Pragniemy przy tym podkreślić, że to jedynie hipoteza – w komunikacie nie wskazano jednoznacznie jak doszło do przełamania zabezpieczeń. Gdyby jednak powodem faktycznie była podatność w cPanel/WHM, nie byłby to odosobniony przypadek, ponieważ według Niebezpiecznika niedawny wyciek danych z Optimed (również podmiotu medycznego) prawdopodobnie był spowodowany wspomnianą luką w zabezpieczeniach.

Jak się chronić?

Podatność w cPanel pokazuje, że powinniśmy aktualizować wszelkie oprogramowanie regularnie i niezwłocznie po pojawieniu się informacji o poważnej podatności. Łatka została opublikowana 28 kwietnia, zaś dwa dni później (w momencie masowej eksploitacji) skompromitowanych miało zostać aż 44 tysiące serwerów, w tym ponad 300 z polskiej adresacji IP.

Jednocześnie warto wspomnieć o niezastąpionej roli szyfrowania podczas przesyłania dokumentów z danymi osobowymi. Dzięki temu możemy uniemożliwić cyberprzestępcy dostęp do zaszyfrowanych plików nawet po włamaniu na naszego maila – kluczowe jest przesłanie odpowiednio skomplikowanego klucza (hasła) innym kanałem, np. SMS-em.

Niezmiennie rekomendujemy zastrzeżenie numeru PESEL oraz stosowanie dwuetapowego uwierzytelniania.

Nie pierwszy taki incydent

W przeszłości wielokrotnie opisywaliśmy włamania na skrzynki mailowe polskich podmiotów sektora medycznego. W marcu br. do takiego incydentu doszło w Szpitalu Uniwersyteckim w Krakowie.

W listopadzie 2024 roku o udanym ataku na skrzynkę e-mailową sekretariatu poinformował Wojewódzki Szpital Specjalistyczny we Włocławku. Z adresu wysyłano później maile phishingowe, mające na celu wyłudzenie danych logowania.

Nieco ponad rok temu na celowniku cyberprzestępców znalazła się również skrzynka sekretariatu Instytutu Immunologii i Terapii Doświadczalnej im. Ludwika Hirszfelda Polskiej Akademii Nauk.

W 2015 roku Szpital Specjalistyczny im. Jana Pawła II w Krakowie nieświadomie wysłał cyberprzestępcom pół miliona złotych.

„(…) złodziej pisał w mejlach do szpitala o zmianie numeru konta bankowego firmy. W ten sposób szpital nieświadomie, zamiast płacić za leki, wysyłał pieniądze na konto oszusta” – czytamy na łamach termedia.pl. Dzisiaj takie ataki są znane jako BEC (ang. Business E-mail Compromise).