Archiwalny

Cyberatak na Urząd Zamówień Publicznych i Krajową Izbę Odwoławczą. Mogło dojść do wycieku danych osobowych

10 grudnia 2025 r. Urząd Zamówień Publicznych i Krajowa Izba Odwoławcza poinformowały o naruszeniu ochrony danych osobowych. Cyberprzestępca uzyskał dostęp do skrzynek e-mail pracowników urzędu.

Do incydentu doszło w systemie poczty elektronicznej Urzędu Zamówień Publicznych i Krajowej Izby Odwoławczej – poinformowały instytucje we wspólnym komunikacie. Nieuprawniony dostęp był wynikiem celowego i szkodliwego działania cyberprzestępcy, a ustalenia techniczne wskazują na możliwość pobrania zawartości skrzynek e-mail pracowników.

⚠️WAŻNY KOMUNIKAT ⚠️

Zidentyfikowany został atak hakerski na Urząd Zamówień Publicznych. Cyberprzestępcy uzyskali dostęp do skrzynek poczty elektronicznej pracowników UZP oraz KIO. Incydent został zgłoszony do służb odpowiedzialnych za cyberbezpieczeństwo i podjęto wszystkie…
— Krzysztof Gawkowski (@KGawkowski) December 15, 2025

W przejętej korespondencji mogły znajdować się dane osobowe, w zależności od rodzaju prowadzonych spraw. Chodzi m.in. o dane identyfikacyjne i kontaktowe, informacje finansowe oraz inne dane przekazywane urzędowi w związku z kontrolami, skargami, wnioskami, postępowaniami odwoławczymi i sprawami organizacyjnymi.

Na obecnym etapie urząd nie ma informacji, aby dane zostały upublicznione, jednak – jak podkreślono – trwa ścisła współpraca z właściwymi organami, aby ograniczyć skutki naruszenia i zapobiec ich dalszemu wykorzystaniu.

Urząd wskazuje, że potencjalne konsekwencje dla osób, których dane mogły znaleźć się w korespondencji, obejmują m.in. kradzież tożsamości, próby wyłudzeń finansowych, dostęp do świadczeń zdrowotnych na podstawie numeru PESEL, zakładanie kont internetowych, rejestrowanie kart prepaid czy zawieranie umów na cudze dane. Możliwe są także ataki phishingowe i inne oszustwa socjotechniczne.

Po wykryciu incydentu w ciągu pierwszej doby wdrożono działania naprawcze. Zdarzenie zgłoszono zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa oraz do Prezesa Urzędu Ochrony Danych Osobowych. Usunięto nieuprawnione dostępy, wymuszono zmianę haseł, zweryfikowano uprawnienia w systemach chmurowych i wszczęto wewnętrzne postępowania wyjaśniające.

Urząd apeluje do osób, które kontaktowały się z nim mailowo, o zmianę haseł do poczty elektronicznej, zachowanie szczególnej ostrożności wobec podejrzanych wiadomości i telefonów oraz monitorowanie rachunków bankowych i usług elektronicznych. Rekomendowane jest także zastrzeżenie numeru PESEL, m.in. przez serwis gov.pl lub aplikację mObywatel, oraz niezwłoczne zgłaszanie prób nieuprawnionego wykorzystania danych.