Poważny wyciek danych polskiego giganta rolniczego

„26 listopada 2025 r. Spółka stwierdziła wystąpienie ataku cybernetycznego na swoją infrastrukturę informatyczną. Analiza ataku przeprowadzona z udziałem zewnętrznych ekspertów wykazała, że w jego wyniku doszło do nieuprawnionego dostępu do danych osobowych obecnych i byłych Klientów, Kontrahentów, Pracowników i Współpracowników Spółki. Doszło również do nieuprawnionego pobrania danych z serwerów” - czytamy w zawiadomieniu na stronie PUH Chemirol Sp. z o. o., cytowanym m.in. na łamach Polskiej Agencji Prasowej.

Zgodnie z przytoczonym komunikatem, naruszeniu ochrony mogły ulec poniższe kategorie danych:

• imiona i nazwiska;
• adresy zamieszkania;
• numery PESEL;
• daty urodzenia;
• adresy e-mail;
• numery rachunków bankowych;
• dane dotyczące zarobków;
• imiona rodziców;
• nazwiska rodowe matek;
• serie i numery dowodów osobistych;
• nazwy użytkowników.

Widzimy, że ww. zakres jest dość obszerny, szczególnie, że zdarzenie mogło dotyczyć zarówno klientów i pracowników firmy. Wiemy, że faktycznie tak było.

Atak ransomware na Chemirol

Według Breachsense, cytowanego przez portal dystopia.pl, informacja o ataku ransomware na polską firmę ukazała się już 16 grudnia, czyli dwa dni przed opublikowanym oświadczeniem.

Warto również dodać, że za incydent odpowiedzialna jest grupa „Payout Kings”, zaobserwowana po raz pierwszy w lipcu 2025 roku. Grupa jest dość tajemnicza - nie ma o niej wielu informacji w sieci, zaś w zakładce „About” (pol. „O nas”) widzimy tylko wpis „Coming soon…” (pol. „Wkrótce…”).

Cyberprzestępcy twierdzą, że udało się im wykraść 704 GB danych. Jest to ciężkie do jednoznacznego potwierdzenia, lecz wiemy, że skala wycieku jest duża. Nie wskazano też daty publikacji danych na blogu ani nie zawarto żadnej informacji wskazującej na szyfrowanie danych.

Wyciek danych z polskiej firmy

Cyberprzestępcy opublikowali link umożliwający zapoznanie się z zawartością pięciu katalogów oraz jednym archiwum. Cztery foldery zawierają głównie kopie zapasowe, zaś plik w formacie .zip to wylistowanie wykradzionych plików i katalogów (wynik polecenia tree w terminalu). Rozmiar wypakowanego pliku tekstowego wynosi nieco ponad 75 MB - składa się z 456 687 linijek, co pokazuje skalę wycieku. Zgodnie z komunikatem na samym końcu pliku, cyberprzestępcy mieli wykraść 401 412 plików z 55 272 katalogów.

Jedyny katalog nieskładający się wyłącznie z plików w formacie .bak zawierał tysiące plików firmy.

Skala incydentu

O tym, jak poważny jest incydent, dobrze mówią rodzaje plików w wylistowaniu katalogów:

• 153 250 dokumentów w formacie .pdf;
• 112 779 arkuszy w formacie .xls lub .xlsx (Excela);
• 48 008 dokumentów w formacie .doc lub .docx (Worda);
• 10 208 wiadomości e-mail w formacie .msg;
• 6569 plików tekstowych w formacie .txt.

Wśród opublikowanych dokumentów znalazł się m.in. arkusz Excela z 27 296 rekordami, który zawierał m.in.:

• 2261 numery PESEL;
• 20 560 numery NIP;
• 26 572 imiona i nazwiska;
• 13 909 adresy e-mail;
• 24 568 numerów komórkowych i 715 numerów stacjonarnych;
• 26 000 - 27 000 adresów (najprawdopodobniej zamieszkania lub prowadzenia działalności).

W wycieku znalazło się wiele danych dotyczących pracowników, takich jak:

• zestawienia do PIT-11;
• wykaz osób z zaświadczniami lekarskimi (wraz numerami PESEL);
• inne dokumenty związane z rozliczeniami.

Warto podkreślić, że zdarzenie obejmuje również kontrahentów. Słowo „faktury” pada 31 180 razy w dokumencie stanowiącym wylistowanie katalogów - to niekoniecznie przekłada się na liczbę faktur (z racji np. na nazwy folderów), lecz stanowi orientacyjną liczbę odnośnie skali incydentu.

Z racji na prywatność osób fizycznych pominięto wszelkie informacje dotyczące danych wrażliwych, które zostały upublicznione przez cyberprzestępców.

Co dalej?

Rekomendujemy wszystkim osobom współpracującym z Chemirol zapoznanie się z komunikatem firmy, który zawiera opis możliwych konsekwencji zdarzenia oraz zalecenia w celu zwiększenia poziomu bezpieczeństwa osób, których dotyczy naruszenia. Wśród nich znalazło się m.in.:

• zastrzeżenie numeru PESEL;
• monitorowanie aktywności kredytowej (np. za pomocą BIK);
• ostrożność wobec prób kontaktu.

Warto także dodać, że spółka zamieściła kilkanaście najczęściej zadawanych pytań wraz z odpowiedziami (tzw. FAQ). „Wyrażamy głębokie ubolewanie z powodu zaistniałej sytuacji i przepraszamy za wszelkie niedogodności oraz stres, jaki może ona wywołać” - kwituje firma.

Niezależnie od tego, czy padliśmy ofiarą wycieku danych, zalecamy: zastrzeżenie numeru PESEL, wykorzystywanie dwuetapowego uwierzytelniania oraz stosowanie unikalnych haseł. Zachęcamy również do zapoznania się z artykułem poświęconym działaniom po wycieku danych.

Osoby, które potencjalnie może dotyczyć incydent, zachęcamy do skontaktowania się z inspektorem ochrony danych osobowych firmy.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.