Doszło do cyberataku na Urząd Zamówień Publicznych (UZP). Cyberprzestępcy uzyskali dostęp do skrzynek poczty elektronicznej pracowników UZP oraz KIO.
‒ Informujemy, że 10 grudnia 2025 r. otrzymaliśmy informację, że doszło do naruszenia ochrony danych osobowych. Niniejsze powiadomienie ma na celu wyjaśnienie charakteru zdarzenia, potencjalnych konsekwencji oraz przedstawienie działań podjętych przez Urząd Zamówień Publicznych oraz Krajową Izbę Odwoławczą i zaleceń dotyczących ochrony Państwa danych ‒ potwierdził te informacje oficjalnie dzisiaj UZP.
I jak przyznaje, w systemie poczty elektronicznej urzędu poprzez celowe i szkodliwe działanie cyberprzestępcy doszło do uzyskania dostępu do skrzynek e-mail pracowników. Ustalenia techniczne wskazują na możliwość pobrania zawartych w nich wiadomości. W skrzynkach tych znajdowała się korespondencja zawierająca dane osobowe. W zależności od charakteru prowadzonych spraw mogłyby się w niej znajdować różne kategorie danych, w tym dane identyfikacyjne i kontaktowe, informacje finansowe, a także inne dane przekazywane urzędowi w ramach realizowanych zadań, np. w związku z kontrolami, skargami, wnioskami, postępowaniami odwoławczymi czy sprawami organizacyjnymi.
Jednak jak uspokaja UZP, na tę chwilę, urząd nie ma informacji, by dane te zostały udostępnione do wiadomości publicznej. Niemniej, by temu zapobiec i ograniczyć skutki naruszenia, ściśle współpracujemy z właściwymi organami.
Przestrzega jednak przed potencjalnymi konsekwencjami cyberataku:
- utrata kontroli nad własnymi danymi osobowymi;
- próby podszycia się pod Państwa tożsamość w celu uzyskania korzyści finansowych (np. zaciąganie pożyczek w instytucjach pozabankowych),
- próby uzyskania przez osoby trzecie dostępu do świadczeń opieki zdrowotnej (często do uzyskania pomocy lekarskiej wystarczy podanie numeru PESEL) lub uzyskania wglądu do danych;
- próby wyłudzania przez osoby trzecie informacji finansowych (często weryfikacja jest prowadzona jedynie przez podanie numeru PESEL);
- próby uzyskania dostępu do usług lub serwisów internetowych, w których stosowane jest potwierdzanie tożsamości za pomocą danych osobowych (np. PESEL, adres e-mail),
- podejmowanie działań w Państwa imieniu, takich jak zakładanie kont w serwisach internetowych, rejestrowanie kart prepaid;
- podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej);
- wykonywanie innych czynności mogących wywołać skutki prawne, np. próby zawierania na Państwa szkodę umów cywilnoprawnych (np. najmu nieruchomości);
- próby wyłudzeń, oszustw lub tzw. ataków socjotechnicznych (phishing),
- próby wykorzystania informacji zawartych w Państwa korespondencji e-mail.
UZP zgłosił incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa i do Prezesa Urzędu Ochrony Danych Osobowych, a także usunął nieuprawniony dostęp i poświadczenia. Wymusił też zmianę haseł i odciął potencjalne kanały dostępu, zweryfikował uprawnienia w systemach chmurowych i prowadzi działania naprawcze w konfiguracji środowiska. Urząd wszczął też wewnętrzne postępowania wyjaśniające.
Tym, którzy kontaktowali się z UZP, urząd zaleca m.in. zmianę hasła do konta e-mail wykorzystywanego w kontaktach.
