W styczniu 2025 roku firma EuroCert, specjalizująca się w dostarczaniu kwalifikowanych usług zaufania, padła ofiarą poważnego ataku hakerskiego typu ransomware. Incydent ten doprowadził do naruszenia bezpieczeństwa danych osobowych klientów, kontrahentów oraz pracowników firmy.
Przebieg ataku
Atak został wykryty w nocy z 12 na 13 stycznia 2025 roku. Cyberprzestępcy wykorzystali złośliwe oprogramowanie, które zaszyfrowało pliki przechowywane na serwerach EuroCert, co spowodowało utratę dostępności i poufności danych. Istnieje wysokie prawdopodobieństwo, że dane te zostały również skradzione.
Zakres wycieku danych
W wyniku ataku naruszone zostały dane osobowe, takie jak:
- imiona i nazwiska,
- numery PESEL,
- serie i numery dowodów osobistych,
- dane kontaktowe (adresy e-mail, numery telefonów),
- hasła,
- wizerunki.
Naruszenie to dotyczyło zarówno klientów, kontrahentów, jak i pracowników EuroCert.
Reakcja EuroCert
Po wykryciu incydentu EuroCert podjął natychmiastowe działania mające na celu minimalizację skutków ataku:
- Poinformowano organy ścigania oraz instytucje odpowiedzialne za cyberbezpieczeństwo, w tym CERT Polska.
- Zgłoszono naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) jako incydent związany z wysokim ryzykiem naruszenia praw i wolności osób.
- Rozpoczęto współpracę z wyspecjalizowanymi służbami i instytucjami w celu wyjaśnienia okoliczności zdarzenia oraz przywrócenia pełnej funkcjonalności systemów IT.
Firma poinformowała również, że nie doszło do kompromitacji wydanych certyfikatów kwalifikowanych. Certyfikaty znajdujące się na fizycznych urządzeniach (kartach/tokenach) pozostały w posiadaniu ich właścicieli i nie były częścią infrastruktury EuroCert. W przypadku certyfikatów w chmurze ECSigner klucze kryptograficzne nie zostały naruszone, jednak zresetowano hasła dostępu, wymagając od użytkowników ich ponownego ustawienia.
Działania cyberprzestępców
Grupa hakerska odpowiedzialna za atak, znana jako RansomHub, opublikowała na swoim blogu wpis zawierający dowody na wykradzenie danych z EuroCert, w tym zrzuty ekranów baz danych oraz struktury katalogów. Wśród ujawnionych informacji znalazły się dane osobowe oraz e-maile w domenach rządowych, takich jak ms.gov.pl i mf.gov.pl. Jednakże wpis ten został później usunięty, co może sugerować negocjacje między stronami lub inne nieznane okoliczności.
Konsekwencje dla klientów
Wyciek tak wrażliwych danych, jak numery PESEL czy informacje z dowodów osobistych, stwarza ryzyko ich wykorzystania do celów przestępczych, takich jak kradzież tożsamości czy wyłudzenia finansowe. Dlatego też klienci EuroCert zostali poinformowani o incydencie i potencjalnych zagrożeniach.
Reakcja Ministerstwa Cyfryzacji
Minister Cyfryzacji wyraził zaniepokojenie zaistniałą sytuacją i podkreślił konieczność podjęcia działań mających na celu ochronę obywateli przed skutkami wycieku danych. Zalecono m.in. monitorowanie swoich danych w rejestrach publicznych oraz zachowanie szczególnej ostrożności w przypadku podejrzanych prób kontaktu.
Podsumowanie
Atak na EuroCert uwypukla rosnące zagrożenie cyberprzestępczością, nawet wobec firm specjalizujących się w bezpieczeństwie cyfrowym. Incydent ten podkreśla konieczność ciągłego doskonalenia zabezpieczeń oraz edukacji w zakresie ochrony danych zarówno wśród przedsiębiorstw, jak i indywidualnych użytkowników.
Dla osób poszukujących dodatkowych informacji na temat ataku na EuroCert, dostępny jest materiał wideo:
