POLADA – dane sportowców zagrożone
W 2024 r. Polska Agencja Antydopingowa (POLADA) padła ofiarą jednego z największych cyberataków w Polsce. Cyberprzestępcy wykradli 250 GB wrażliwych danych, które następnie opublikowano na Telegramie.
Wśród ujawnionych informacji znalazły się adresy, dane medyczne i wyniki badań antydopingowych polskich sportowców, co stworzyło realne ryzyko phishingu i spoofingu. Jednak choć o wycieku dowiedzieliśmy się w sierpniu, to eksperci z Zaufanej Trzeciej Strony wskazują, że dane mogły zostać wykradzione już w kwietniu 2024 r. To budzi pytania o czas reakcji Agencji na incydent.
Cyberatak został przeprowadzony przez grupę wspieraną przez obce, wrogie państwo. POLADA potwierdziła, że do wycieku doszło w wyniku poważnych luk w zabezpieczeniach, takich jak słabe hasła i przechowywanie poświadczeń w dokumentach.
Śledztwo w sprawie incydentu prowadziły policja, CERT Polska, UODO oraz Ministerstwo Sportu. Wdrożono również środki naprawcze, jednak cyberatak ujawnił poważne niedociągnięcia w zakresie ochrony danych osobowych w publicznych instytucjach.
Ten incydent podkreśla konieczność wzmożonej ochrony cyfrowej i wprowadzenia wyższych standardów cyberbezpieczeństwa, zwłaszcza w organizacjach przetwarzających wrażliwe dane.
PAP – cyberprzestępcy sieją dezinformację
Cyberatak na Polską Agencję Prasową (PAP), który miał miejsce 31 maja 2024 roku, odbił się szerokim echem w Polsce i za granicą. Na stronie PAP opublikowano fałszywe depesze powiadamiające o rzekomej mobilizacji wojskowej w Polsce.
Informacje te, szybko usunięte, wywołały falę spekulacji na temat zaangażowania rosyjskich cyberprzestępców i destabilizacji w przeddzień wyborów do Parlamentu Europejskiego.
Zagraniczne media, w tym Reuters i AFP, podkreśliły, że incydent miał na celu zakłócenie sytuacji w Polsce. Premier Donald Tusk również podkreślił, że była to próba wywołania chaosu i niepokoju społecznego. Minister cyfryzacji Krzysztof Gawkowski wskazał z kolei na możliwe zaangażowanie Rosji, która mogła dążyć do dezinformacji i destabilizacji kraju.
W związku z cyberatakiem Prokuratura Okręgowa w Warszawie wszczęła śledztwo, badając sprawę pod kątem rozpowszechniania dezinformacji mogącej zaszkodzić polskiemu państwu. Śledztwo prowadzi Agencja Bezpieczeństwa Wewnętrznego, próbując ustalić, kto stoi za incydentem i jakie były motywy jego działań.
PAP podjęła kroki, by wzmocnić swoje systemy bezpieczeństwa i zapobiec podobnym incydentom w przyszłości. Rzecznik Prokuratury, Piotr Skiba, potwierdził, że analiza dotyczy potencjalnego szpiegostwa oraz nieuprawnionego dostępu do systemu PAP. Media spekulują, że atak mógł polegać na phishingu, brute force lub SQL injection, ale brak jeszcze pełnych szczegółów.
Wprowadzenie nowych zabezpieczeń w PAP jest istotnym krokiem, ale incydent pokazuje, że organizacje publiczne i media muszą być przygotowane na rosnące zagrożenia cyberprzestrzeni, za którymi niestety często nie nadążają.
Sanok Rubber Company S.A. – spadek akcji po cyberataku
Cyberatak na Sanok Rubber Company S.A., czołowego europejskiego producenta wyrobów gumowych, był jednym z najpoważniejszych incydentów cyberbezpieczeństwa w Polsce w 2024 roku. Firma poinformowała o nim 28 stycznia, ujawniając, że dotknął kluczowych systemów, takich jak finansowo-księgowe i logistyczne.
Aby ograniczyć skutki ataku, spółka szybko odizolowała zainfekowaną infrastrukturę i rozpoczęła proces przywracania pracy systemów. Jednocześnie zgłoszono incydent odpowiednim organom ścigania, co podkreśla powagę sytuacji.
Konsekwencje były widoczne niemal natychmiast na giełdzie – akcje Sanok Rubber Company S.A. spadły o 5,5%, a ich wahania odnotowano również w indeksach takich jak sWIG80 i MIG-Motoryzacja. Choć systemy informatyczne udało się uruchomić ponownie po trzech dniach, wydarzenie wpłynęło na wizerunek firmy oraz jej wartość rynkową.
W pierwszych dniach po cyberataku klienci mieli problemy z realizacją zamówień online, które trzeba było składać telefonicznie. Sytuacja ta wywołała opóźnienia w procesach sprzedażowych i dodatkowe utrudnienia.
Eksperci ds. cyberbezpieczeństwa ostrzegają, że takie incydenty mogą przynieść dalekosiężne skutki finansowe i reputacyjne, szczególnie dla spółek notowanych na giełdzie. Według analityków, gdyby przerwa w działaniu systemów trwała dłużej, skutki mogłyby być jeszcze bardziej dotkliwe.
Niepokojący jest również fakt, że niedługo po ataku na Sanok Rubber Company podobny incydent zgłosiła inna polska firma – Global Cosmed, co świadczy o nasilających się zagrożeniach dla rodzimego przemysłu.
Sanok Rubber Company S.A. wdrożyła dodatkowe środki bezpieczeństwa, aby zapobiec podobnym zdarzeniom w przyszłości. Ten incydent stał się ważną lekcją dla polskich spółek giełdowych, pokazując, jak istotne są inwestycje w ochronę cyfrową oraz świadomość potencjalnych skutków braku odpowiednich zabezpieczeń.
Cyberatak na AIUT – 5,9 TB danych wykradzione
Cyberatak na AIUT Sp. z o.o., jednego z liderów polskiej automatyki, robotyki i IoT, okazał się jednym z najpoważniejszych incydentów cyberbezpieczeństwa w Polsce w 2024 roku. Między 5 a 22 września cyberprzestępcy z grupy Hunters przejęli i opublikowali blisko 5,9 terabajtów danych, w tym informacje o działalności firmy, dane osobowe pracowników, a także poufne dokumenty.
Wyciek obejmował m.in. plany projektowe, umowy NDA oraz dane osobowe, takie jak numery PESEL, adresy zamieszkania, a także skany paszportów i wiz pracowników. Znaleziono także hasła do ponad 100 kont e-mailowych i portali używanych w firmie. Choć AIUT wdrożył mechanizmy naprawcze i zabezpieczenia, skala wycieku wskazuje na istotne luki w ochronie systemów.
Eksperci podkreślają, że takie incydenty mogą prowadzić do oszustw finansowych, wyłudzeń czy strat wizerunkowych. Dane projektowe związane z automatyzacją i robotyką stanowią również cenne informacje dla konkurencji. Atak, ujawniony 8 października, a dane opublikowane dwa dni później, wzbudził szerokie zainteresowanie w branży technologicznej i uwypuklił rosnące zagrożenie cyberatakami w sektorze przemysłowym.
AIUT poinformował o incydencie i wdrożył procedury ograniczające skutki wycieku, współpracując z zewnętrznymi ekspertami ds. cyberbezpieczeństwa. Firma zapewniła, że analizuje zakres szkód i wprowadza dodatkowe zabezpieczenia.
Incydent w AIUT to bolesna lekcja dla branży technologicznej, pokazująca, że nawet czołowi gracze mogą stać się łatwym celem dla cyberprzestępców. W końcu według raportu Check Point Research, w pierwszym kwartale 2024 r. liczba cyberataków na świecie wzrosła o 28% w porównaniu do poprzedniego roku, z czego znaczna część dotyczyła sektora technologicznego.
Zaniedbanie odpowiednich zabezpieczeń może prowadzić do poważnych konsekwencji, jak pokazuje przypadek AIUT.
Wyciek danych Ministerstwa Cyfryzacji
Ministerstwo Cyfryzacji poinformowało o naruszeniu danych osobowych, które miało miejsce 17 stycznia 2024 r. Do incydentu doszło wskutek pomyłki pracownika Biura Budżetowo-Finansowego, który przesłał dokumenty zawierające szczegółowe dane o wynagrodzeniach pracowników do osoby o tym samym nazwisku, zatrudnionej w Centralnym Ośrodku Informatyki.
W wyniku tego do niewłaściwego adresata trafiły informacje dotyczące obecnych i byłych pracowników, co wzbudziło poważne obawy o ochronę danych w administracji publicznej.
Ministerstwo szybko podjęło działania naprawcze. 19 stycznia zgłoszono incydent do Urzędu Ochrony Danych Osobowych (UODO), a w resorcie wprowadzono dodatkowe środki zabezpieczające.
Wśród nich znalazły się zobowiązania pracowników do szczegółowego weryfikowania danych adresatów wewnętrznej korespondencji oraz przypomnienie o zasadach ochrony danych osobowych.
Incydent wywołał duże zainteresowanie w mediach. Portal Niebezpiecznik, zwrócił uwagę na wyciek, komentując, że dane dotyczące wynagrodzeń pracowników Ministerstwa zostały ujawnione na skutek wysłania ich do niewłaściwej osoby. Informacja ta natychmiast przyciągnęła uwagę użytkowników internetu, a wielu komentujących zwracało uwagę na potrzebę zwiększenia dbałości o poufność informacji w administracji publicznej.
W odpowiedzi na incydent Ministerstwo wprowadziło procedury mające na celu poprawę bezpieczeństwa wewnętrznej korespondencji oraz ochrony danych w ramach resortu.
Przykład ten pokazuje, że nawet w instytucjach odpowiedzialnych za politykę cyfryzacji może dochodzić do przypadkowych naruszeń danych. W związku z tym każda instytucja publiczna powinna dążyć do stałego doskonalenia swoich procedur ochrony danych i szkoleń dla pracowników, aby uniknąć podobnych sytuacji w przyszłości.
Cyberatak na Microsoft. Cyberprzestępcy łamią zabezpieczenia giganta
W styczniu 2024 r. Microsoft padł ofiarą cyberataku grupy Midnight Blizzard, sponsorowanej przez rosyjski reżim. Cyberprzestępcy uzyskali dostęp do wewnętrznych systemów i repozytoriów kodu źródłowego, co postawiło firmę w obliczu poważnego zagrożenia. Atak rozpoczął się 12 stycznia, a jego skala znacznie wzrosła w lutym.
Microsoft zareagował błyskawicznie. Zespół ds. bezpieczeństwa zabezpieczył systemy, przerwał nieautoryzowaną aktywność i wdrożył zaawansowane procedury obronne. Wnioski do Komisji Papierów Wartościowych i Giełd (SEC) wskazują na intensywne działania mające ograniczyć skutki incydentu.
Grupa Midnight Blizzard to przykład rosnącego zagrożenia ze strony sponsorowanych przez państwa cyberprzestępców. I jak widać cyberatakami zagrożone są nawet takie korporacje, jak Microsoft, który chwali się, że jest wspierany przez sieć 15 tys. partnerów i stale monitoruje oraz neutralizuje cyberzagrożenia.
Cyberatak na Microsoft to ostrzeżenie dla firm na całym świecie. Pokazuje, jak istotne są odpowiednie zabezpieczenia i procedury. W dobie sponsorowanych ataków konieczne jest ciągłe monitorowanie zagrożeń i rozwój systemów obronnych, by skutecznie odpierać cyberprzestępczość na globalną skalę
Cyberatak na Dropbox – wyciek danych
W kwietniu 2024 r. Dropbox padł ofiarą poważnego cyberataku, który dotknął usługę Dropbox Sign (dawniej HelloSign). Cyberprzestępcy uzyskali dostęp do systemów automatycznej konfiguracji oraz bazy danych klientów, co ujawniło słabości w zabezpieczeniach.
Wykradzione dane obejmowały adresy e-mail, nazwy użytkowników, numery telefonów oraz skróty haseł. Przestępcy uzyskali też dostęp do kluczy API, tokenów OAuth i ustawień kont. W przypadku użytkowników korzystających z Dropbox Sign bez rejestracji wyciekły adresy mailowe i nazwiska. Nie stwierdzono jednak dostępu do treści dokumentów ani danych płatniczych.
Dropbox szybko podjął działania naprawcze – zresetowano hasła, wylogowano użytkowników, a także przeprowadzono rotację kluczy API i tokenów OAuth. Firma poinformowała poszkodowanych i przekazała im instrukcje zabezpieczenia kont.
Incydent wyniknął z przejęcia konta serwisowego z dostępem do środowiska produkcyjnego Dropbox Sign, lecz nie wpłynął na inne usługi Dropbox, gdyż infrastruktura była odseparowana. Dropbox wdrożył dodatkowe zabezpieczenia, takie jak wieloskładnikowe uwierzytelnianie (MFA), a także planuje implementację tokenów biometrycznych i WebAuthn.
Dropbox ponadto podjął również współpracę ze śledczymi oraz zgłosił incydent do odpowiednich organów ścigania i ochrony danych. Zakończono dochodzenie, wskazując, że cyberprzestępcy wykorzystali przejęte konto serwisowe, które miało uprawnienia do środowiska produkcyjnego Dropbox Sign. Firma zapewniła, że infrastruktura Dropbox Sign jest oddzielona od innych usług Dropbox, a incydent był odizolowany od reszty systemów.
Dropbox podkreślił, że jego priorytetem jest odbudowanie zaufania klientów oraz zapobieganie podobnym incydentom w przyszłości. Firma zaznaczyła, że nawet najlepiej przeszkoleni eksperci mogą paść ofiarą wyrafinowanego ataku phishingowego.
IRLeaks atakuje Iran
W sierpniu 2024 r. Iran padł ofiarą największego cyberataku w swojej historii, który poważnie zagroził stabilności systemu bankowego tego kraju. Atak dotknął około 20 krajowych banków. A Iran został zmuszony do czasowego wyłączenia bankomatów na terenie całego kraju.
Za cyberatakiem prawdopodobnie stała grupa IRLeaks – organizacja cyberprzestępca znana z ataków właśnie na irańskie organizacje. Początkowo cyberprzestępcy żądali 10 milionów dolarów w kryptowalucie, grożąc sprzedażą danych kont bankowych i kart kredytowych Irańczyków na czarnym rynku.
Irański reżim zdecydował się na zapłatę 3 milionów dolarów, aby uniknąć destabilizacji finansowej, która mogłaby zaostrzyć już trudną sytuację gospodarczą kraju, osłabionego przez międzynarodowe sankcje. Władze oficjalnie nie przyznały się do tego, że incydent miał miejsce, a informacje o zamknięciu bankomatów i innych środkach bezpieczeństwa pozostawały nieoficjalne.
Jedynym odniesieniem do wydarzeń była wypowiedź najwyższego przywódcy Iranu, ajatollaha Alego Chameneia, który oskarżył Stany Zjednoczone i Izrael o próbę destabilizacji Iranu poprzez „szerzenie wojny psychologicznej”.
W kontekście międzynarodowym atak ten wpisał się w napięte relacje między Iranem, Izraelem a Stanami Zjednoczonymi. Pomimo sugestii, że atak mógł być powiązany z tymi krajami, analitycy wskazują, że IRLeaks działał samodzielnie, kierując się motywacją finansową.
Incydent ten miał również wpływ na napiętą sytuację polityczną, zwłaszcza w kontekście niedawnych wyborów prezydenckich, które wygrał Donald Trump. Przypuszczenia o możliwym wpływie Iranu na wynik wyborów poprzez cyberataki na kampanię Trumpa pojawiały się w mediach, jednak bez bezpośredniego powiązania z grupą IRLeaks.
Atak na CDU. Cyberprzestępcy ujawnili słabości niemieckiej sceny politycznej w kontekście cyberbezpieczeństwa
Na początku czerwca 2024 r. Unia Chrześcijańsko-Demokratyczna (CDU) – jedna z głównych partii politycznych w Niemczech, padła ofiarą poważnego cyberataku. Incydent ten miał miejsce tuż przed wyborami do Parlamentu Europejskiego.
Cyberprzestępcy uzyskali dostęp do wewnętrznych systemów CDU, co pozwoliło im na kradzież poufnych informacji. Według doniesień cyberprzestępcy wykorzystali zaawansowane techniki phishingowe, aby przejąć kontrolę nad kontami e-mail oraz systemami wewnętrznymi partii. W rezultacie intruzi mogli poruszać się po infrastrukturze sieciowej CDU niezauważeni przez co najmniej dwa tygodnie.
W odpowiedzi na atak CDU podjęła natychmiastowe działania mające na celu zabezpieczenie swoich systemów. Wprowadzono audyty bezpieczeństwa oraz aktualizacje oprogramowania, aby zapobiec przyszłym zagrożeniom. Federalne Ministerstwo Spraw Wewnętrznych potwierdziło powagę incydentu i zaangażowało odpowiednie służby, w tym Federalny Urząd Ochrony Konstytucji (BfV) oraz Federalny Urząd Bezpieczeństwa Technologii Informacyjnych (BSI), w dochodzenie.
Chociaż oficjalnie nie podano informacji na temat tożsamości sprawców, charakter ataku wskazuje na „bardzo profesjonalnego” przeciwnika. Niektóre źródła sugerują, że za atakiem mogą stać grupy cyberprzestępcze powiązane z reżimem chińskim lub rosyjskim.
Cyberatak na CDU wywołał szeroką debatę na temat cyberbezpieczeństwa w polityce oraz konieczności wprowadzenia surowszych przepisów chroniących przed takimi incydentami. Władze niemieckie zaostrzyły środki ochronne przed zagrożeniami cyfrowymi i hybrydowymi, zwłaszcza w kontekście zbliżających się wyborów.
Fala cyberataków – ShinyHunters uderza w Santander Bank i Ticketmaster, miliony klientów zagrożone
W II kwartale 2024 r. Cyberprzestępcy uzyskali dostęp do danych klientów Santander Banku, co zmusiło bank do natychmiastowej reakcji. Wprowadzono dodatkowe warstwy uwierzytelniania oraz rozpoczęto monitorowanie nietypowych działań na kontach bankowych, aby chronić klientów przed potencjalnymi oszustwami.
Równocześnie Ticketmaster zgłosił wyciek danych, który dotknął miliony użytkowników. Cyberprzestępcy – znani jako ShinyHunters – wykorzystali wykradzione informacje dostępowe pracownika zewnętrznego dostawcy usług chmurowych, Snowflake, aby uzyskać dostęp do 1,3 TB danych klientów. Pliki, które trafiły do dark webu, zawierały pełne dane klientów, takie jak imiona, adresy e-mailowe, numery telefonów oraz szczegóły dotyczące zakupionych biletów.
Oba incydenty podkreśliły znaczenie szybkiej reakcji i skutecznej komunikacji z klientami w obliczu naruszeń bezpieczeństwa. Santander Bank i Ticketmaster podjęły współpracę z organami ścigania oraz firmami zajmującymi się cyberbezpieczeństwem, aby zidentyfikować sprawców i zminimalizować wpływ wycieków na użytkowników.
Warto zauważyć, że incydenty te nie były odosobnione. W tym samym okresie grupa ShinyHunters przeprowadziła cyberataki na inne firmy, takie jak AT&T, Live Nation Entertainment i Advance Auto Parts, co wskazuje na szeroko zakrojoną kampanię cyberprzestępczą.
2024 r. ujawnił brutalną rzeczywistość cyberzagrożeń, które uderzyły w globalnych gigantów i kluczowe polskie organizacje. Te incydenty – ich skala i konsekwencje pokazują, że żaden sektor nie jest bezpieczny. Dodatkowo w dobie rosnącej aktywności sponsorowanych przez państwa grup cyberprzestępczych, firmy na całym świecie stają przed wyzwaniem doskonalenia zabezpieczeń i wdrażania zaawansowanych procedur, by stawić czoła nowym zagrożeniom.