Operator Słupskiej i Usteckiej Karty Mieszkańca padł ofiarą cyberataku. Osoby nieuprawnione uzyskały dostęp do części informacji o posiadaczach kart. Urząd Miejski w Słupsku uspokaja, że nie chodzi o dane wrażliwe, takie jak PESEL, dane o zdrowiu czy informacje finansowe. Jednocześnie mieszkańcy powinni uważać na fałszywe wiadomości, podejrzane linki i próby wyłudzenia haseł.

::news{"type":"see-also","item":"12731"}

W Słupsku pojawił się alert dotyczący naruszenia ochrony danych osobowych w systemie obsługującym Słupską Kartę Mieszkańca. Sprawa dotyczy zewnętrznego operatora, który obsługuje system związany z kartami mieszkańca w Słupsku i Ustce.

Z komunikatu opublikowanego przez miasto wynika, że 26 maja 2026 roku firma obsługująca Słupską Kartę Mieszkańca poinformowała administratora danych, czyli Prezydenta Miasta Słupska, o incydencie bezpieczeństwa. Osoby nieuprawnione uzyskały dostęp do konta pracownika obsługującego system. Ustalono również, że sprawcy podmienili link do strony logowania.

Urząd Miejski w Słupsku uzupełnia teraz te informacje i podkreśla, że zdarzenie było elementem szerszego ataku na serwisy obsługiwane przez partnera utrzymującego i drukującego karty mieszkańca.

ZAATAKOWANO KILKANAŚCIE SERWISÓW

Według stanowiska Urzędu Miejskiego w Słupsku atak był nielegalnym działaniem wymierzonym w serwisy obsługiwane przez partnera karty. Łącznie zaatakowanych zostało kilkanaście serwisów. Miasto podkreśla, że szybka reakcja pozwoliła zablokować dalsze próby działania hakera. Chodziło między innymi o podmianę strony logowania i phishing, czyli próbę wyłudzenia danych, na przykład haseł użytkowników.

Po uzyskaniu informacji o włamaniu odcięto dostęp do danych użytkowników. Pobrano również logi, które mają pozwolić na pełną weryfikację zdarzenia i ustalenie, do jakich informacji rzeczywiście dotarły osoby nieuprawnione. Po wprowadzeniu dodatkowych zabezpieczeń działanie systemu zostało przywrócone.

JAKIE DANE MOGŁY TRAFIĆ W NIEPOWOŁANE RĘCE?

Z wcześniejszego komunikatu wynikało, że naruszenie mogło objąć takie dane jak imię i nazwisko, identyfikator użytkownika, login oraz adres e-mail. Urząd Miejski w Słupsku wskazuje, że w zdecydowanej większości pozyskane dane to imię, nazwisko i adres e-mail użytkowników.

Miasto zaznacza, że nie są to dane wrażliwe, ale sprawa traktowana jest z najwyższą powagą. Część mieszkańców przy zakładaniu konta do uzyskania karty mieszkańca podawała tzw. adres techniczny, czyli mail założony specjalnie na potrzeby obsługi karty, a nie skrzynkę używaną na co dzień do bankowości, pracy czy innych usług. Najważniejsza informacja brzmi jednak tak: według stanowiska urzędu osoby nieuprawnione nie dotarły do danych wrażliwych. Miasto podkreśla, że przy obsłudze systemu przezornie nie pobierano takich informacji jak PESEL czy inne dane wrażliwe.

HASEŁ NIE STWIERDZONO WŚRÓD DANYCH OBJĘTYCH NARUSZENIEM

Z komunikatu wynika, że na chwilę obecną nie stwierdzono dostępu do haseł użytkowników. To ważne, ale nie kończy sprawy. Nawet podstawowe dane, takie jak imię, nazwisko i adres e-mail, mogą zostać wykorzystane do prób oszustwa. Przestępcy często nie potrzebują kompletu informacji. Wystarczy im wiarygodnie wyglądający e-mail, znajomość nazwy usługi i fałszywy link prowadzący do strony udającej prawdziwy system logowania.

Dlatego mieszkańcy Słupska i Ustki powinni zachować szczególną ostrożność wobec wiadomości, które będą wyglądały jak korespondencja od urzędu, operatora karty albo innej zaufanej instytucji.

NAJWIĘKSZE RYZYKO TO PHISHING

Urząd zaleca, aby uważniej korzystać z poczty elektronicznej. Tego typu ataki bywają wykorzystywane do wysyłania wiadomości z fałszywymi linkami lub załącznikami. Kliknięcie w taki link może prowadzić do strony podszywającej się pod prawdziwy serwis. W ten sposób przestępcy mogą próbować zdobyć hasła, dane logowania, a w dalszej kolejności nawet dostęp do kont bankowych lub innych ważnych usług.

Mieszkańcy powinni więc uważać na wiadomości, które nakłaniają do szybkiego działania, straszą blokadą konta, proszą o potwierdzenie danych albo zawierają link do „pilnej weryfikacji”. W takich sytuacjach najlepiej nie klikać w link, nie otwierać załącznika i samodzielnie wejść na oficjalną stronę danej instytucji albo skontaktować się z nią znanym wcześniej kanałem.

SPRAWA TRAFI DO ORGANÓW ŚCIGANIA

Miasto informuje, że po skompletowaniu wszystkich informacji sprawa włamania zostanie zgłoszona do organów ścigania przez partnera karty. Wcześniej naruszenie zostało zgłoszone również do Prezesa Urzędu Ochrony Danych Osobowych oraz CSIRT NASK, czyli zespołu reagowania na incydenty bezpieczeństwa komputerowego.

Urząd Miejski w Słupsku zapowiada też własne działania po zakończeniu sprawy. Chodzi o audyt bezpieczeństwa, który ma pomóc lepiej ocenić poziom ochrony systemów informatycznych, także w innych obszarach działania samorządu. Miasto zaznacza, że takie zdarzenia nie są już czymś wyjątkowym. Samorządy, instytucje publiczne i ich partnerzy mierzą się z coraz większą liczbą cyberataków.

NIE TYLKO SŁUPSK. ATAKI NA SAMORZĄDY SĄ CORAZ CZĘSTSZE

Urząd Miejski w Słupsku przypomina, że w ostatnich latach podobne incydenty dotykały różne samorządy i instytucje publiczne. Wśród przykładów wskazywany jest między innymi Urząd Pracy w Policach, gdzie w 2024 roku doszło do jednego z poważniejszych ataków. Skradziono tam około 200 GB danych, w tym informacje o zarobkach, majątku, pochodzeniu i stanie zdrowia.

Informacje o atakach hakerskich i kradzieży danych osobowych zgłaszały także między innymi Gmina Wadowice, gdzie sprawa miała dotyczyć danych około 40 tysięcy osób, a także Lewin Kłodzki, Gmina Obrazów, Powiatowy Urząd Pracy w Aleksandrowie Kujawskim, Nowa Sarzyna, Urząd Marszałkowski Województwa Małopolskiego i Jędrzejów.

Słupski urząd podkreśla, że również na co dzień odpiera setki prób takich ataków. Dlatego, jak wskazuje, o sprawie mówi teraz otwarcie, prosząc mieszkańców o czujność nie tylko przy Karcie Mieszkańca, ale przy każdej usłudze internetowej.

CO POWINNI ZROBIĆ MIESZKAŃCY?

Najważniejsze zalecenia są proste. Nie klikać w podejrzane linki. Nie otwierać załączników z nieznanych wiadomości. Nie podawać haseł po przejściu z linku otrzymanego e-mailem lub SMS-em. Osoby, które używały tego samego loginu albo adresu e-mail w innych usługach, powinny rozważyć zmianę hasła. Warto też włączyć uwierzytelnianie wieloskładnikowe, jeśli dana usługa daje taką możliwość.

Dobrze jest również monitorować aktywność na swoich kontach internetowych. Chodzi o nietypowe logowania, wiadomości o próbach resetowania hasła, nowe urządzenia dodane do konta albo korespondencję, której użytkownik sam nie inicjował. W przypadku pytań dotyczących incydentu lub przetwarzania danych osobowych mieszkańcy mogą kontaktować się z inspektorem ochrony danych Urzędu Miejskiego w Słupsku. Podano adres e-mail: [email protected] oraz numery telefonów: 59 84 88 459 i 59 84 88 360.

::news{"type":"see-also","item":"12728"}