Polska pod ostrzałem cyberataków: wyciek danych w SuperGrosz, incydent w Itace i ataki DDoS na BLIK

Wprowadzenie do problemu / definicja luki

Na przełomie 31 października–4 listopada 2025 r. w Polsce doszło do serii istotnych incydentów cyberbezpieczeństwa: poważnego wycieku danych klientów serwisu pożyczkowego SuperGrosz (AIQLABS), naruszenia danych kont w „Strefie Klienta” biura podróży Nowa Itaka oraz dwóch fal ataków DDoS, które chwilowo zakłóciły działanie mobilnego systemu płatności BLIK. Sprawa ma wymiar krajowy — dotyka usług finansowych i turystycznych, a więc sektorów o dużej ekspozycji na dane wrażliwe i transakcje. Polska administracja potwierdziła rosnącą presję w cyberprzestrzeni.

W skrócie

• SuperGrosz (AIQLABS): potwierdzony wyciek co najmniej ~10 tys. rekordów; wśród danych m.in. PESEL, dane dowodu, adresy, telefony, informacje o zatrudnieniu i nr rachunków bankowych; hasła w postaci hashy. Skala może być większa. Wykrycie: 31.10.2025.
• Nowa Itaka: nieuprawniony dostęp do danych kont w Strefie Klienta (e-mail oraz — opcjonalnie — imię i nazwisko, numer telefonu). Bez naruszenia haseł, danych rezerwacji i finansowych. Komunikat z 31.10.2025 (akt. 04.11.2025).
• BLIK: co najmniej dwie fale ataków DDoS (01.11 i 03.11.2025) powodujące przejściowe problemy z płatnościami; operator potwierdził atak i przywrócił działanie po kilku godzinach.
• Tło: Minister Cyfryzacji wskazał, iż „sznurki prowadzą do Rosji” w kontekście ataku na BLIK; jednocześnie zastrzegł potrzebę ostrożności w ocenie korelacji incydentów.

Kontekst / historia / powiązania

Według The Record (Recorded Future News) służby analizują sekwencję zdarzeń, a polskie władze alarmują o tysiącach incydentów dziennie. Polska — jako państwo frontowe wspierające Ukrainę i członek NATO — obserwuje intensyfikację operacji wrogich (cyberprzestępczych i sponsorowanych przez państwo) od 2022 r. W wypowiedziach publicznych podkreśla się możliwy kierunek rosyjski w przypadku BLIKa, ale brak potwierdzenia bezpośredniego powiązania między wszystkimi zdarzeniami.

Analiza techniczna / szczegóły luki

1) BLIK — ataki DDoS na infrastrukturę płatności

• Typ ataku: zewnętrzny Distributed Denial of Service, skutkujący utratą dostępności wybranych funkcji (np. generowania kodów/realizacji przelewów).
• Skutki: chwilowe zakłócenia płatności i transferów P2P; brak informacji o naruszeniu integralności danych finansowych użytkowników.
• Czas trwania i remediacja: komunikaty operatora potwierdzały powrót do normalnego działania po kilku godzinach w obu dniach incydentów.

Wnioski techniczne:

• DDoS na system rozliczeniowy wskazuje na atak wolumetryczny/warstwowy na interfejsy krytyczne (np. API autoryzacyjne, bramy pośredniczące banków), często z wykorzystaniem botnetów L7 i/lub amplifikacji. Skuteczna obrona wymaga scrubbingu ruchu, Anycast, rate-limitingu adaptacyjnego i playbooków współpracy z bankami oraz operatorami CDN.

2) SuperGrosz (AIQLABS) — naruszenie poufności danych

• Zakres danych: e-mail, imię i nazwisko, PESEL, dane dowodu (nr, daty), adresy, telefon, status zawodowy, dane pracodawcy (nazwa/NIP/telefon), numery rachunków bankowych, identyfikator FB, a także hash’e haseł; w przypadku cudzoziemców – dane dokumentów pobytowych.
• Skala: potwierdzono ~10 tys. osób (potencjalnie więcej).
• Wektor: „zdalny dostęp” uzyskany przez napastnika i wykorzystanie własnego kodu do pozyskania części bazy (brak szczegółów co do podatności pierwotnej). Wykrycie incydentu 31.10.2025.

Wnioski techniczne:

• Występowanie hashy haseł nie eliminuje ryzyka przełamania ich słabych wartości; konieczne jest potwierdzenie użytego algorytmu (np. bcrypt/Argon2 vs. przestarzałe schematy) i parametrów kosztu.
• Zakres obejmujący PESEL i dane dowodu zwiększa ryzyko kradzieży tożsamości oraz nadużyć kredytowych.

3) Nowa Itaka — ograniczony zakres danych kont

• Zakres: e-mail oraz — opcjonalnie — imię i nazwisko i telefon użytkowników Strefy Klienta; bez haseł i bez danych rezerwacji/finansowych.
• Charakter zdarzenia: nieuprawniony dostęp do części danych kont; brak informacji o eksfiltracji pełnych profili podróży.

Praktyczne konsekwencje / ryzyko

• Dla użytkowników SuperGrosz: realne ryzyko fraudów kredytowych (pozabankowych), SIM-swapów, phishingu ukierunkowanego oraz social engineeringu (dzięki bogatym danym o zatrudnieniu/rodzinie). Monitorowanie zapytań kredytowych staje się krytyczne.
• Dla klientów Itaki: podwyższone ryzyko phishingu (np. „dopłata do rezerwacji”, „aktualizacja danych”), ale brak przesłanek naruszenia danych finansowych czy haseł.
• Dla użytkowników BLIKa i sektora finansowego: ataki DDoS nie naruszają poufności, ale uderzają w dostępność i zaufanie do ekosystemu; mogą służyć jako dymna zasłona dla innych operacji (np. testowanie reakcji SOC/CSIRT).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (osób fizycznych)

1. Zastrzeż PESEL w aplikacji mObywatel/serwisach rządowych oraz włącz monit o próby kredytowe (BIK/BIG). Rekomendacje te potwierdzał minister cyfryzacji w kontekście ostatnich zdarzeń.
2. Zmiana haseł (szczególnie jeżeli gdziekolwiek używano tych samych), włączenie MFA.
3. Czujność na phishing: weryfikacja domen, brak klikania w linki do „dopłat” i „aktualizacji danych”.
4. Monitorowanie kont/wyciągów i zgłaszanie podejrzanych transakcji.
5. U klientów SuperGrosz: zastosować kroki wskazane w komunikacie spółki (monitoring kredytowy, czujność na podszycia).

Dla firm (CISO/SOC)

• BLIK / finanse: wzmocnić „DDoS-ready posture”: upstream scrubbing, autoskalujące WAF/L7, blokady geolokacyjne według TTP, ćwiczenia runbooków z bankami i PSP; telemetria o czasie do wchłonięcia ataku (TTA) i MTTR.
• Fintech/turystyka: natychmiastowy threat hunting pod kątem nieautoryzowanego zdalnego dostępu (EDR, logi bastionów/VPN, „living-off-the-land”), rotacja sekretów, podniesienie kosztów hashy haseł (bcrypt/Argon2), segregacja danych KYC i tokenizacja wrażliwych pól.
• Zarządzanie ryzykiem tożsamości: wdrożenie Credit Freeze-like procesów w relacjach z partnerami pożyczkowymi, scoring anomalii wniosków (PESEL + wzorce pracy/pracodawcy).
• Komunikacja kryzysowa: spójne komunikaty, transparentność zakresu danych i wskazanie konkretnych kroków ochrony dla klientów.

Różnice / porównania z innymi przypadkami

• DDoS vs. wyciek: BLIK to klasyczny atak na dostępność, bez przesłanek naruszenia danych; SuperGrosz i Itaka to incydenty poufności, z różnym ciężarem (SuperGrosz — bardzo wysoki; Itaka — relatywnie ograniczony).
• Zakres danych: w SuperGrosz wyciek obejmuje pełne zestawy identyfikacyjne (PESEL, ID, bank), co elevuje ryzyko do kategorii kradzieży tożsamości; Itaka — głównie dane kontaktowe.
• Atrybucja: wypowiedzi rządowe sugerują rosyjski wektor w przypadku ataków na BLIK; brak potwierdzenia, iż za wszystkie incydenty stoi jeden aktor.

Podsumowanie / najważniejsze wnioski

• W krótkim oknie czasowym uderzono w trzy różne cele: rozliczenia płatności (dostępność), pożyczki (poufność + dane KYC) i turystykę (dane kont).
• Użytkownicy powinni natychmiast zastrzec PESEL, zmienić hasła i monitorować aktywność kredytową; firmy — przećwiczyć i wzmocnić playbooki DDoS oraz kontrolę dostępu/segmentację danych KYC.
• Wymiar geopolityczny jest realny, ale korelacja incydentów nie została oficjalnie potwierdzona; najważniejsze są procedury odpornościowe i szybka, transparentna komunikacja.

Źródła / bibliografia

1. The Record (Recorded Future News): zbiorcze ujęcie zdarzeń i kontekst wypowiedzi władz, 04.11.2025. (The Record from Recorded Future)
2. TVN24 Biznes: wypowiedzi Ministra Cyfryzacji nt. ataków na BLIK, Itakę i SuperGrosz, 03.11.2025. (TVN24)
3. Komunikat Nowa Itaka: „Ważna informacja dotycząca bezpieczeństwa danych…”, 31.10.2025 (akt. 04.11.2025). (itaka.pl)
4. Oświadczenie AIQLABS/SuperGrosz (archiwum): zakres danych, zalecenia, 02.11–04.11.2025. (web.archive.org)
5. Polsat News: komunikaty operatora BLIK dot. ataku DDoS (03.11.2025) i przywrócenia działania. (PolsatNews.pl)