Cyberatak w WFOŚiGW w Poznaniu. Wyciek poufnych danych tysięcy osób

1 tydzień temu

Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej (WFOŚiGW) w Poznaniu padł ofiarą poważnego cyberataku, w wyniku którego przestępcy najprawdopobodniej wykradli wrażliwe dane osobowe tysięcy beneficjentów, kontrahentów i pracowników funduszu. Wśród skradzionych informacji znalazły się numery PESEL, dowody osobiste, adresy zamieszkania, a choćby numery kont bankowych czy informacje o zarobkach.

Cyberatak w WFOŚiGW w Poznaniu

Fundusz, odpowiedzialny m.in. za realizację programu Czyste Powietrze, poinformował o naruszeniu zabezpieczeń serwerów oraz zaszyfrowaniu znajdujących się na nich danych. – Zdarzenie to doprowadziło do utraty dostępności oraz najprawdopodobniej również poufności danych osobowych m.in. beneficjentów, kontrahentów i pracowników WFOŚiGW w Poznaniu- informuje fundusz.

Atak miał miejsce 4 października 2024 roku. Hakerzy przełamali zabezpieczenia serwerów instytucji i zaszyfrowali pliki. W odpowiedzi na incydent, WFOŚiGW natychmiast powiadomił odpowiednie służby, w tym policję, Urząd Ochrony Danych Osobowych oraz CERT Polska, który monitoruje zagrożenia cyberbezpieczeństwa w kraju.

Ryzyko kradzieży tożsamości i oszustw finansowych

Eksperci ostrzegają, iż wyciek tak wrażliwych danych może prowadzić do poważnych zagrożeń, takich jak kradzież tożsamości, oszustwa finansowe, a choćby szantaż. Przestępcy mogą wykorzystać skradzione informacje do zaciągania pożyczek lub podpisywania umów na nazwiska poszkodowanych.

W odpowiedzi na zagrożenie, WFOŚiGW apeluje do osób, które korzystały z jego programów, o natychmiastowe zastrzeżenie numerów PESEL oraz monitorowanie aktywności finansowej poprzez założenie konta w systemie informacji kredytowej. Każdy przypadek podejrzenia podszywania się powinien zostać zgłoszony policji.

Dalsze działania i wsparcie dla poszkodowanych

WFOŚiGW podkreśla, iż monitoruje sytuację i współpracuje z organami ścigania oraz specjalistami ds. cyberbezpieczeństwa w celu minimalizacji skutków ataku. Osoby poszkodowane mogą kontaktować się z inspektorem ochrony danych osobowych funduszu, który udziela niezbędnych informacji i wsparcia.

Cyberataki, szczególnie w instytucjach publicznych, które przetwarzają ogromne ilości danych osobowych niosą za sobą bardzo poważne konsekwencje. Mieszkańcy Wielkopolski, korzystający z programów funduszu, powinni zachować szczególną ostrożność w nadchodzących tygodniach i miesiącach.

Informacje z WFOŚiGW:

Wskutek ataku doszło do naruszenia dostępności oraz poufności danych osobowych mogących obejmować w szczególności:

dane identyfikacyjne;
dane adresowe;
dane kontaktowe;
numer PESEL;
seria i numer dowodu osobistego;
numer rachunku bankowego;
dane o zarobkach i/lub posiadanym majątku;
informacja o wysokości przyznanych środków publicznych;
dane szczególnej kategorii (o stanie zdrowia oraz o przynależności związkowej).

Następstwem naruszenia danych osobowych może być:

publikacja lub ujawnienie danych osobowych co może naruszać Państwa dobra osobiste;
zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;
narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
założenie konta internetowego przy wykorzystaniu danych osobowych (np. w serwisach społecznościowych);
podjęcie przez osobę trzecią próby uzyskania na Państwa szkodę pożyczek w instytucjach poza bankowych, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
podjęcie przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość dzięki numeru PESEL);
wykorzystanie danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
wykorzystanie przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
wykorzystanie przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;

wykorzystanie danych osobowych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów);

zarejestrowanie przedpłaconej karty telefonicznej (pre- paid ), która może służyć do celów przestępczych;
przetwarzanie danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania).

Co można zrobić, aby zminimalizować negatywne skutki naruszenia:

W celu zminimalizowania ewentualnych negatywnych skutków zdarzenia zalecamy:

zastrzec swój numer PESEL (zastrzeżenie numeru PESEL jest możliwe przez internet – kliknij przycisk Zastrzeż PESEL i zaloguj się, system przeniesie cię do mObywatel.gov.pl lub pobierz i wypełnij wniosek w domu albo zrób to w swoim urzędzie gminy) – od 1 czerwca 2024 r. instytucje finansowe (np. banki) mają obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki;
założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl);
zmienić login lub hasło do systemów, w których loginem lub hasłem był numer PESEL;
włączyć dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową;
zwracać szczególną uwagę na próby logowania na konta i sprawdzania alertów przesyłanych na adres e-mail;
zachować ostrożność w kontakcie ze strony banków lub innych instytucji finansowych, w szczególności gdy rozmówca chce, powołując się na numer PESEL, uzyskać dane takie jak nr dowodu osobistego, nr konta bankowego, itp.;
zachować ostrożność przy korzystaniu z mediów społecznościowych, w szczególności przy odbieraniu wiadomości prywatnych zawierających linki;
w razie stwierdzenia podszywania się pod Państwa – zawiadomić organy ścigania o możliwości popełnienia przestępstwa;
w razie stwierdzenia naruszenia Państwa dóbr osobistych przez wykorzystanie danych osobowych, które zostały objęte niniejszym naruszeniem, rekomendujemy wykorzystanie środków ochrony dóbr osobistych określonych w przepisach Kodeksu cywilnego.