Cyberatak w WFOŚiGW w Poznaniu. Wyciek poufnych danych tysięcy osób
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej (WFOŚiGW) w Poznaniu padł ofiarą poważnego cyberataku, w wyniku którego przestępcy najprawdopobodniej wykradli wrażliwe dane osobowe tysięcy beneficjentów, kontrahentów i pracowników funduszu. Wśród skradzionych informacji znalazły się numery PESEL, dowody osobiste, adresy zamieszkania, a nawet numery kont bankowych czy informacje o zarobkach.
Cyberatak w WFOŚiGW w Poznaniu
Fundusz, odpowiedzialny m.in. za realizację programu Czyste Powietrze, poinformował o naruszeniu zabezpieczeń serwerów oraz zaszyfrowaniu znajdujących się na nich danych. – Zdarzenie to doprowadziło do utraty dostępności oraz najprawdopodobniej również poufności danych osobowych m.in. beneficjentów, kontrahentów i pracowników WFOŚiGW w Poznaniu- informuje fundusz.
Atak miał miejsce 4 października 2024 roku. Hakerzy przełamali zabezpieczenia serwerów instytucji i zaszyfrowali pliki. W odpowiedzi na incydent, WFOŚiGW natychmiast powiadomił odpowiednie służby, w tym policję, Urząd Ochrony Danych Osobowych oraz CERT Polska, który monitoruje zagrożenia cyberbezpieczeństwa w kraju.
Ryzyko kradzieży tożsamości i oszustw finansowych
Eksperci ostrzegają, że wyciek tak wrażliwych danych może prowadzić do poważnych zagrożeń, takich jak kradzież tożsamości, oszustwa finansowe, a nawet szantaż. Przestępcy mogą wykorzystać skradzione informacje do zaciągania pożyczek lub podpisywania umów na nazwiska poszkodowanych.
W odpowiedzi na zagrożenie, WFOŚiGW apeluje do osób, które korzystały z jego programów, o natychmiastowe zastrzeżenie numerów PESEL oraz monitorowanie aktywności finansowej poprzez założenie konta w systemie informacji kredytowej. Każdy przypadek podejrzenia podszywania się powinien zostać zgłoszony policji.
Dalsze działania i wsparcie dla poszkodowanych
WFOŚiGW podkreśla, że monitoruje sytuację i współpracuje z organami ścigania oraz specjalistami ds. cyberbezpieczeństwa w celu minimalizacji skutków ataku. Osoby poszkodowane mogą kontaktować się z inspektorem ochrony danych osobowych funduszu, który udziela niezbędnych informacji i wsparcia.
Cyberataki, szczególnie w instytucjach publicznych, które przetwarzają ogromne ilości danych osobowych niosą za sobą bardzo poważne konsekwencje. Mieszkańcy Wielkopolski, korzystający z programów funduszu, powinni zachować szczególną ostrożność w nadchodzących tygodniach i miesiącach.
Informacje z WFOŚiGW:
Wskutek ataku doszło do naruszenia dostępności oraz poufności danych osobowych mogących obejmować w szczególności:
- dane identyfikacyjne;
- dane adresowe;
- dane kontaktowe;
- numer PESEL;
- seria i numer dowodu osobistego;
- numer rachunku bankowego;
- dane o zarobkach i/lub posiadanym majątku;
- informacja o wysokości przyznanych środków publicznych;
- dane szczególnej kategorii (o stanie zdrowia oraz o przynależności związkowej).
Następstwem naruszenia danych osobowych może być:
- publikacja lub ujawnienie danych osobowych co może naruszać Państwa dobra osobiste;
- zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;
- narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
- założenie konta internetowego przy wykorzystaniu danych osobowych (np. w serwisach społecznościowych);
- podjęcie przez osobę trzecią próby uzyskania na Państwa szkodę pożyczek w instytucjach poza bankowych, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
- podjęcie przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL);
- wykorzystanie danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
- wykorzystanie przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
- wykorzystanie przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;
- wykorzystanie danych osobowych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów);
- zarejestrowanie przedpłaconej karty telefonicznej (pre- paid ), która może służyć do celów przestępczych;
- przetwarzanie danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania).
Co można zrobić, aby zminimalizować negatywne skutki naruszenia:
W celu zminimalizowania ewentualnych negatywnych skutków zdarzenia zalecamy:
- zastrzec swój numer PESEL (zastrzeżenie numeru PESEL jest możliwe przez internet – kliknij przycisk Zastrzeż PESEL i zaloguj się, system przeniesie cię do mObywatel.gov.pl lub pobierz i wypełnij wniosek w domu albo zrób to w swoim urzędzie gminy) – od 1 czerwca 2024 r. instytucje finansowe (np. banki) mają obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki;
- założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl);
- zmienić login lub hasło do systemów, w których loginem lub hasłem był numer PESEL;
- włączyć dodatkowe zabezpieczenie w serwisach, które umożliwiają weryfikację dwuetapową;
- zwracać szczególną uwagę na próby logowania na konta i sprawdzania alertów przesyłanych na adres e-mail;
- zachować ostrożność w kontakcie ze strony banków lub innych instytucji finansowych, w szczególności gdy rozmówca chce, powołując się na numer PESEL, uzyskać dane takie jak nr dowodu osobistego, nr konta bankowego, itp.;
- zachować ostrożność przy korzystaniu z mediów społecznościowych, w szczególności przy odbieraniu wiadomości prywatnych zawierających linki;
- w razie stwierdzenia podszywania się pod Państwa – zawiadomić organy ścigania o możliwości popełnienia przestępstwa;
- w razie stwierdzenia naruszenia Państwa dóbr osobistych przez wykorzystanie danych osobowych, które zostały objęte niniejszym naruszeniem, rekomendujemy wykorzystanie środków ochrony dóbr osobistych określonych w przepisach Kodeksu cywilnego.