Rok po ataku na starostwo w Jędrzejowie. Skradziono dane? Mamy odpowiedź prokuratury

15 października ub. roku grupa RansomHub poinformowała o zaatakowaniu Starostwa Powiatowego w Jędrzejowie. W swoim poście cyberprzestępcy wskazali, że rzekomo udało się im wykraść poniższe rodzaje danych:

• imię i nazwisko;
• imiona rodziców;
• płeć;
• adresy zameldowania i zamieszkania;
• numer PESEL, status osoby (nie wyjaśniono szczegółów);
• adres e-mail.

Wśród zaatakowanych domen wymieniono: powiatjedrzejow.pl, geo2602.pl i jedrzejow.pl.

Stanowisko Starostwa Powiatowego

21 października ub. r. odbyła się VIII Nadzwyczajna Sesja Rady Powiatu w Jędrzejowie, która była w pełni poświęcona atakowi ransomware. Wówczas mogliśmy usłyszeć, że kopia zapasowa wykonywana codziennie została zaszyfrowana. Dane najprawdopodobniej odtworzono z backupu wykonanego 1 lipca br. (na początku trzeciego kwartału).

W Biuletynie Informacji Publicznej jędrzejowskiego Starostwa przekazano, że 24 października 2024 r. udało się przywrócić działanie wszystkich usług sieciowych tamtejszego geoportalu, wraz z prośbą o weryfikację wniosków złożonych po 1 lipca br.

Lokalne władze poinformowały również o naruszeniu ochrony danych osobowych. Zestaw danych osobowych, który obejmuje wspomniane zdarzenie, jest identyczny do tego, który został rzekomo wykradziony przez cyberprzestępców – przy czym „status osoby” rozróżnia je na żyjące lub zmarłe.

Czy dane wyciekły?

Cyberprzestępcy nie opublikowali rzekomo wykradzionych danych mieszkańców powiatu jędrzejowskiego. Po upływie określonego przez nich czasu (przekroczeniu tzw. „deadline’u”), post… zniknął.

Aby ustalić, czy wyciek danych miał miejsce, pod koniec października ub. r. skierowaliśmy pytania do jędrzejowskiego Starostwa. Wówczas jednostka nie miała informacji odnośnie tego, czy cyberprzestępcy wykradli dane 80 tys. osób.

Cierpliwość kluczem do informacji

Pomiędzy grudniem ub. roku a wrześniem 2025 r. czterokrotnie skierowaliśmy pytania dotyczące incydentu do Prokuratury Okręgowej w Kielcach. Przez ostatnie kilka miesięcy postępowanie było w toku, dlatego ze względu na jego dobro nie udzielano informacji nt. omawianego ataku ransomware.

We wrześniu br. wysłaliśmy do kieleckiej prokuratury następujące pytania:

1. Ilu osób dane zostały wykradzione przez cyberprzestępców? Czy jest to 80 tys. osób, tak jak twierdziła grupa RansomHub?

2. Czy wśród wykradzionych przez cyberprzestępców danych znajdują się: imię i nazwisko, imiona rodziców, płeć, adresy zameldowania i zamieszkania, numer PESEL i adres e-mail?

Niecały rok po cyberataku na jędrzejowskie Starostwo, Prokuratura Okręgowa w Kielcach przekazała nam:

Na podstawie przeprowadzonej przez CBZC Zarząd w Kielcach analizy zaatakowanych serwerów, nie udało się ustalić, czy jakiekolwiek dane zostały wykradzione przez cyberprzestępców, a tym samym nie udało się ustalić, czy wykradziono dane 80 tys. osób, jak rzekomo twierdziła grupa RansomHub.
Prokuratura Okręgowa w Kielcach

Powstrzymajmy się z krytyką

Nie znamy szczegółów sprawy – przede wszystkim tego, na jakich danych pracowało kieleckie CBZC. Niewykluczone, że zachowany materiał dowodowy nie pozwalał jednoznacznie ustalić tego, czy wyciekły dane 80 tys. osób, co może być spowodowane np. niedostateczną ilością logów dotyczących ruchu sieciowego w Starostwie Powiatowym w Jędrzejowie.

Apelujemy o powstrzymanie się od pochopnych ocen działań instytucji, ponieważ nie mamy wglądu w zachowany materiał dowodowy. Jednocześnie, sytuacja idealnie pokazuje konieczność monitorowania infrastruktury informatycznej. W tym celu można wykorzystać otwartoźródłowe oraz darmowe oprogramowanie, takie jak np. Zabbix czy Wazuh.

Istnieje również niezerowe prawdopodobieństwo, że atak ransomware mógł polegać jedynie na zaszyfrowaniu danych, bez uprzedniej kradzieży.

Niewiedza i reakcja

Od ataku ransomware na Starostwo Powiatowe w Jędrzejowie minął już ponad rok. Jeśli faktycznie doszło do wycieku danych 80 tys. osób, incydent można uznać za poważny.

Niezależnie od tego, czy bezpieczeństwo naszych danych osobowych uległo naruszeniu, warto zastrzec swój numer PESEL oraz stosować dwuetapowe uwierzytelnianie (2FA) podczas logowania się do wszelakich kont, które to umożliwiają.

Grupa RansomHub zaprzestała swoich przestępczych działań w kwietniu 2025 roku. Obecnie ich strony w darknecie są niedostępne.

Miejmy nadzieję, że mieszkańcy powiatu jędrzejowskiego w niedługim czasie otrzymają klarowną odpowiedź odnośnie potencjalnego wycieku danych.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).