Włamanie na skrzynkę polskiej ciepłowni

13 lutego br. Miejskie Przedsiębiorstwo Energetyki Cieplnej Nowy Targ poinformowało o „nieuprawnionym dostępie do skrzynki pocztowej” w domenie mpecnowytarg.pl. Wiadomo, że niepowołana osoba mogła uzyskać dostęp do korespondencji oraz „wysyłać wiadomości z tego adresu bez wiedzy administratora”.

Zakres naruszenia

W komunikacie wskazano rodzaje danych, które uległy naruszeniu ochrony. Mowa o m.in. poniższych kategoriach:

• imię i nazwisko;
• adres e-mail;
• adres korespondencyjny;
• numer telefonu.

Zdarzenie ma obejmować również „inne dane identyfikacyjne, jeśli zostały przesłane w treści wiadomości lub załącznikach”, np. numer PESEL.

Nie pierwszy taki incydent

Włamania na skrzynki mailowe w polskich organizacjach nie są niestety niczym niespotykanym. Widzimy jednak, że coraz częściej publikowane są zawiadomienia o naruszeniu ochrony danych osobowych. Wbrew pozorom nie musi to oznaczać większej liczby udanych ataków, lecz wzrostu świadomości administratorów odnośnie skutków włamań.

Na przestrzeni ostatniego roku byliśmy świadkami kilku incydentów polegających na wykorzystaniu nieuprawnionego dostępu do skrzynek mailowych. Mowa m.in. o poniższych zdarzeniach:

• kwiecień 2025: włamania na skrzynki trzech podmiotów publicznych;
• wrzesień 2025: włamanie na skrzynkę ośrodka pomocy społecznej poprzez „przełamanie hasła";
• listopad 2025: udany atak phishingowy na cztery skrzynki mailowe firmy energetycznej;
• grudzień 2025: włamanie na skrzynkę polskiej spółki akcyjnej, skutkujące rozsyłaniem wiadomości z złośliwymi załącznikami;
• styczeń 2026: włamanie na skrzynkę jednego z wydziałów starostwa;
• styczeń 2026: ujawnienie przekierowań wiadomości ze skrzynki gminy oraz przedsiębiorstwa (prawdopodobnie atak typu BEC (Business E-mail Compromise), który ma na celu m.in. wyłudzenie środków poprzez wysyłanie fałszywych wiadomości w ramach już prowadzonej korespondencji);
• luty 2026: incydent u polskiego hostingodawcy, skutkujący opublikowaniem zawiadomienia przez jeden z urzędów pracy.

Jak się chronić?

Login oraz nawet skomplikowane hasło obecnie nie są uznawane za wystarczający stopień zabezpieczenia konta. W tym celu rekomenduje się wykorzystanie tzw. „drugiego składnika” w ramach uwierzytelniania dwuetapowego (2FA).

Choć pozornie może to wydawać się skomplikowane, wdrożenie dwuskładnikowego logowania często nie wymaga od nas dużego nakładu sił, ponieważ mowa tutaj o wykorzystaniu np.:

• kodu z SMS;
• kodu z aplikacji mobilnej;
• potwierdzenia w aplikacji mobilnej;
• klucze sprzętowe (U2F).

„(…) hasła można wyłudzić (phishing), odgadnąć używając metody brute-force lub kupić na czarnym rynku po innym wycieku. MFA sprawia, że nawet jeśli haker wejdzie w posiadanie Twojego hasła, wciąż nie ma fizycznego dostępu do drugiego składnika, co czyni skradzione dane niewystarczającymi do przeprowadzenia ataku” – słusznie kwituje Beata Zalewa na swoim blogu w artykule odnoszącym się do incydentu u polskiego hostingodawcy, niedawno opisanym na naszym portalu.

Wówczas skrzynki mailowe wykorzystujące 2FA pozostały nienaruszone, tzn. nie stwierdzono nieuprawnionego dostępu.

Rolę dwuetapowego uwierzytelniania pokazuje dobrze sytuacja z października ubiegłego roku. Holenderski dostawca IT wyłączył 2FA – sąd orzekł, że firma sama odpowiada za włamanie na chmurę i generowanie kosztów na poziomie 22 tys. euro dziennie, ponieważ brak dwuetapowego logowania najprawdopodobniej umożliwił wystąpienie incydentu.

Warto również rozważyć wdrożenie „passkeys”, czyli logowania bez podawania hasła.

Apel

Szerzej znaczenie 2FA opisaliśmy w listopadzie ubiegłego roku. Warto przy tym podkreślić, że za najbezpieczniejszy składnik logowania uznaje się fizyczny klucz (U2F – jest to spowodowane m.in. możliwością wyłudzenia jednorazowych kodów (OTP) z SMS-ów i aplikacji, czemu zapobiegają wspomniane urządzenia.

Eksperci również padają ofiarami ataków cyberprzestępców, co pokazała historia Troya Hunta, założyciela HaveIBeenPwned, który podał jednorazowy kod na stronie phishingowej. Artykuł pokazuje ludzką stronę cyberbezpieczeństwa – autor podkreślił, że wielokrotnie widział podobne próby wyłudzeń, lecz tym razem wpadł w pułapkę cyberprzestępców.

Warto jasno zaznaczyć, że dwuetapowe uwierzytelnianie stanowi podstawę bezpieczeństwa kont i warto je wdrożyć – najlepiej niezwłocznie.

Można wręcz to skrócić do maksymy: „2FA – wdróż lub płać i płacz”.