Wyciek danych w SuperGrosz – co się stało, jakie są skutki i jak się zabezpieczyć

  • Home
  • Szczegóły artykułu
4 listopada 2025

Co się wydarzyło

Serwis SuperGrosz.pl (operowany przez spółkę AIQLABS sp. z o.o.) został atakowany hakersko, w wyniku czego przestępcy uzyskali dostęp do części bazy danych klientów. Wiadomości Onet+2www.money.pl+2

Zakres i dane wykradzione

W komunikatach wskazano, że wśród pozyskanych informacji znajdują się m.in.:

  • imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania lub pobytu. RMF24+1
  • numery PESEL, dane z dokumentów tożsamości (np. dowodu osobistego) – numer, data wydania, data ważności. niebezpiecznik.pl+1
  • informacje o statusie cywilnym, liczbie dzieci, dane zawodowe, nazwa i dane pracodawcy (NIP, adres, telefon). www.money.pl+1
  • numery rachunków bankowych, identyfikatory w portalu Facebook. niebezpiecznik.pl+1
    Firma podaje, że poszkodowanych jest co najmniej 10 000 osób, choć skala może być większa. RMF24+1

Reakcje i działania instytucji

  • Sprawą zajmują się organy: CSIRT KNF oraz CSIRT NASK. Powiadomiony został także Urząd Ochrony Danych Osobowych (UODO). wroclaw.pl+1
  • Rząd zapowiedział, że wkrótce za pośrednictwem serwisu bezpiecznedane.gov.pl będzie można sprawdzić, czy dane danej osoby znajdują się w wycieku. WP Wiadomości+1

Dlaczego to jest poważne — jakie są zagrożenia?

Ponieważ dane są bardzo wrażliwe, potencjalne ryzyka obejmują:

  • Kradzież tożsamości: numer PESEL + dane dowodu + adres = możliwość zaciągnięcia kredytu/pożyczki na Twoje nazwisko.
  • Wyłudzenia socjotechniczne: przestępcy mogą użyć danych, by budować wiarygodne scenariusze („wiemy, że Pan…”, „pracuje Pan w…”, „ma Pan dzieci…”).
  • Próby logowania do innych usług: jeśli używałeś tych samych haseł lub loginów, mogą próbować uzyskać dostęp do kont bankowych, portali społecznościowych itp.
  • Naruszenie prywatności: informacje o statucie rodzinnym, liczbie dzieci, pracodawcy mogą być wykorzystane w różny sposób — od marketingu po oszustwa.

Co powinieneś zrobić natychmiast — „po stronie użytkownika”

A) Jeśli korzystałeś z SuperGrosz lub masz tam konto:

  1. Zmień hasło do konta w SuperGrosz (o ile nadal je masz) oraz wszędzie tam, gdzie używałeś tej samej kombinacji login/hasło.
  2. Włącz dwuskładnikowe uwierzytelnianie (2FA) wszędzie tam, gdzie to możliwe – poczta, bankowość, ważne aplikacje.
  3. Bądź szczególnie czujny na e-maile, SMS-y lub telefony z prośbą o dane/hasła – to może być phishing wykorzystujący wyciek.
  4. Sprawdź, czy został udostępniony wykaz wyciekłych danych (serwis bezpiecznedane.gov.pl) i sprawdź, czy Twoje dane są objęte.
  5. Rozważ zastrzeżenie numeru PESEL w aplikacji mObywatel – co ograniczy możliwość użycia danych przez osoby trzecie. wroclaw.pl
  6. Przejrzyj swoje konta bankowe i finansowe – czy pojawiają się nieznane transakcje lub próby otwarcia kredytów.
  7. Rozważ skorzystanie z usługi monitoringu tożsamości – jeśli dane zostały ujawnione, monitoring może ostrzec Cię przed ich wykorzystywaniem.

B) Jeśli jesteś właścicielem firmy lub sklepem i Twoje dane mogły wyciec:

  • Upewnij się, że Twoje dane (NIP, adres firmy) są bezpieczne; jeśli musiałeś podać je w serwisie, monitoruj możliwość ich wykorzystania w kontekście działalności gospodarczej.
  • Zmień wszelkie hasła dostępu, klucze API i dostęp administratorów jeśli się zalogowałeś w tej platformie.
  • Rozważ zawiadomienie swojego prawnika lub audytora bezpieczeństwa ds. RODO, jeśli dane firmowe/klientów mogły być zagrożone.

Jak zabezpieczyć się na przyszłość

  • Używaj unikalnych haseł dla każdej usługi – niepowtarzalnych kombinacji, najlepiej generowanych przez menedżer haseł.
  • Włącz 2FA wszędzie tam, gdzie to możliwe.
  • Regularnie śledź/wykorzystuj usługi typu „czy moje dane wyciekły” (np. Have I Been Pwned) oraz wykorzystuj monitorowanie tożsamości.
  • Ostrożniej z danymi wrażliwymi: jeśli podajesz je w serwisach, sprawdź reputację platformy, politykę prywatności i zabezpieczenia.
  • Gdy posiadasz dane osób trzecich (np. jako przedsiębiorstwo), upewnij się, że masz politykę ich ochrony (RODO), backupy, silne hasła i regularne testy bezpieczeństwa.
  • W przypadku incydentu – dokumentuj wszystko, podejmuj kroki i zawiadamiaj właściwe organy (np. UODO) oraz klientów – przezroczystość buduje zaufanie.

Garść ciekawostek

  • Wspomniany Incydent dotyczył firmy oferującej pożyczki online – ten sektor jest szczególnie atrakcyjny dla hakerów, bo często przetwarza bardzo wrażliwe dane (również dane kredytowe).
  • Zgodnie z komunikatem, nawet dane takie jak liczba dzieci czy identyfikator Facebooka wyciekły – co pokazuje, że zbieranie danych „marketingowych” może mieć poważne konsekwencje. RMF24+1
  • Zastrzeżenie numeru PESEL (funkcja dostępna w mObywatel) staje się coraz częściej zalecanym krokiem ochrony tożsamości – wcześniejsze wycieki pokazały, że PESEL sam w sobie może być punktem wykorzystania w wyłudzeniach. Geekweek Interia
  • Mimo dużej skali incydentu, firma podała liczbę poszkodowanych jako „co najmniej 10 000” – to pokazuje, jak wstępne dane są ostrożne, a faktyczna skala może być dużo większa.

Źródła

  • Onet – „Atak hakerski na SuperGrosz… dane części użytkowników” Wiadomości Onet
  • RMF24 – informacja o wycieku danych klientów i ataku hakerskim. RMF24
  • Niebezpiecznik – analiza zakresu wycieku i zalecenia dla użytkowników. niebezpiecznik.pl
  • Money.pl / Wirtualna Polska – komunikaty „sytuacja jest bardzo poważna”. www.money.pl+1
  • Bankier.pl – zakres danych, w tym numery rachunków bankowych. Bankier.pl

Wyświetleń: 5
Poprzedni Następny

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.