Włamanie na skrzynkę polskiego urzędu

„Informujemy, że w dniu 20.12.2025 roku prawdopodobnie doszło do naruszenia ochrony danych osobowych przetwarzanych przez Starostwo Powiatowe w Świdniku. Naruszenie polegało na nieuprawnionym dostępie osoby nieuprawnionej do systemu poczty elektronicznej: [email protected]” – przekazał świdnicki urząd na swojej stronie internetowej. Wiadomo, że naruszeniu ochrony mogły ulec poniższe kategorie danych:

• imię i nazwisko;
• adres e-mail;
• numer telefonu;
• adres zamieszkania;
• numer PESEL;
• numer dowodu osobistego;
• numer konta bankowego.

Kluczowa rola 2FA

W zawiadomieniu czytamy, że świdnickie starostwo w ramach dodatkowych środków bezpieczeństwa wdrożyło m.in. stosowanie dwuetapowego uwierzytelniania. Warto podkreślić, że jest to bardzo ważny element zabezpieczania naszego konta – dzięki temu niemożliwe jest zalogowanie się do naszego konta wskutek przejęcia loginu i hasła, ponieważ konieczne jest wykorzystanie dodatkowego składnika.

Uwierzytelnianie dwuskładnikowe opiera się na wykorzystaniu m.in.:

• jednorazowego kodu (OTP) z aplikacji uwierzytelniającej lub SMS;
• aplikacji mobilnej do potwierdzenia próby logowania;
• klucza fizycznego (U2F).

Choć pozornie może wydawać się to dodatkowym utrudnieniem, korzystanie z ww. środków pozwala na znaczne zwiększenie poziomu bezpieczeństwa naszego konta. 2FA nie jest jednocześnie „panaceum” na wszystkie ataki związane z nieuprawnionym dostępem do konta, co pokazują m.in. artykuły na łamach Sekuraka związane z wyłudzeniami jednorazowych kodów czy obejściem uwierzytelniania z użyciem klucza. To nie oznacza jednak, że nie powinniśmy wdrożyć tego rozwiązania: dwuetapowe logowanie niewątpliwie pomaga zabezpieczyć nasze konto.

„Dzięki zastosowaniu weryfikacji dwuetapowej, nawet jeśli ktoś pozna nasze hasło, nie będzie w stanie uzyskać dostępu do konta bez drugiego czynnika uwierzytelniającego. To zdecydowanie zwiększa bezpieczeństwo!” - apeluje CERT Polska w poradniku zawierającym praktyczne rady o włączeniu 2FA w popularnych serwisach.

Badania przeprowadzone przez firmę Microsoft pokazują, że uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków zabezpieczeń kont.
Microsoft o MFA

Nie pierwszy taki incydent

W 2025 roku widzieliśmy kilka incydentów związanych z nieuprawnionym dostępem do skrzynek pocztowych publicznych podmiotów.

Choć sam fakt występowania takich zdarzeń oczywiście nie napawa optymizmem, konieczne jest podkreślenie, że organizacje poinformowały o incydentach oraz wydały publiczne komunikaty, co może wskazywać na wzrost świadomości zagrożeń.

W ubiegłym roku byliśmy świadkami problemów związanych z skrzynkami e-mailowymi w poniższych organizacjach:

• Zakład Gospodarki Komunalnej w Gorzycach: „uzyskanie kopii korespondencji e-mail ZGK" w ramach „incydentu związanego z cyberatakiem";
• Instytut Immunologii i Terapii Doświadczalnej  im. Ludwika Hirszfelda Polskiej Akademii Nauk: „nieuprawniony dostęp do skrzynki poczty elektronicznej sekretariatu";
• Gminny Ośrodek Pomocy Społecznej w Fredropolu: „nieuprawniony dostęp do służbowej skrzynki e-mail wskutek przełamania hasła";
• Urząd Zamówień Publicznych oraz Krajowa Izba Odwoławcza: „poprzez celowe i szkodliwe działanie cyberprzestępcy doszło do uzyskania dostępu do skrzynek e-mail pracowników".

Co dalej?

Powinniśmy wykorzystywać dwuetapowe uwierzytelnianie wszędzie tam, gdzie umożliwiają to ustawienia konta – zarówno w zastosowaniach prywatnych i służbowych. W tzw. „darknecie” co jakiś czas pojawiają się pliki tekstowe zawierające dane logowania, zdobyte najprawdopodobniej wskutek działania tzw. infostealerów (złośliwego oprogramowania wykradającego informacje).

W przypadku podejrzenia, że nasze dane osobowe uległy naruszeniu ochrony, powinniśmy podjąć m.in. poniższe kroki:

• zastrzeżenie numeru PESEL (jeśli jeszcze tego się nie robi – a warto niezależnie od ew. wycieku danych);
• wykupienie alertów o wykorzystaniu danych, np. BIK czy ChrońPESEL;
• zachować ostrożność wobec potencjalnych prób kontaktu – nawet w sytuacji, gdy ktoś posługuje się naszymi danymi.

Szczegółowe instrukcje zawarte są w artykule na łamach naszego portalu. Rekomendujemy również kontakt z inspektorem ochrony danych osobowych danej organizacji.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.