W pierwszych dniach listopada 2025 roku polska scena finansowa doznała wstrząsu. SuperGrosz, popularny serwis pożyczkowy obsługujący tysiące klientów, padł ofiarą spektakularnego cyberataku, w wyniku którego wyciekły dane osobowe o skali niespotykanej w krajowym sektorze fintech. Wyciek objął nie tylko podstawowe informacje użytkowników, lecz także dane wrażliwe, takie jak numery PESEL, dane dowodów osobistych, rachunki bankowe czy nawet szczegóły zatrudnienia i statusu rodzinnego.
Atak został wykryty 31 października, a pierwsze komunikaty pojawiły się już następnego dnia. W oświadczeniu operator serwisu (firma AIQLABS Sp. z o.o.) potwierdziła, że nieautoryzowany podmiot uzyskał zdalny dostęp do części bazy danych klientów. Choć nie ujawniono jeszcze, w jaki sposób doszło do włamania, wszystko wskazuje na to, że sprawcy użyli autorskiego narzędzia programistycznego, które pozwoliło im ominąć mechanizmy bezpieczeństwa i uzyskać bezpośredni dostęp do danych. To oznacza, że atak mógł być przygotowywany tygodniami, jeśli nie miesiącami, a jego wykonawcy doskonale znali strukturę środowiska informatycznego serwisu.
W oficjalnych komunikatach pojawiły się wzmianki o liczbie około dziesięciu tysięcy poszkodowanych klientów. Jednak w sieci szybko zaczęły krążyć informacje o znacznie większej skali incydentu. Portal Sekurak poinformował, że na jednym z forów cyberprzestępczych pojawiła się oferta sprzedaży bazy danych zawierającej aż milion czterysta tysięcy rekordów klientów SuperGrosz, obejmujących okres od 2017 do 2025 roku. To nie tylko imponująca liczba, ale także sygnał, że incydent mógł dotyczyć całej historii działalności serwisu.
Z informacji ujawnionych przez media wynika, że wśród skradzionych danych znalazły się pełne zestawy informacji osobowych. Zawierały one imię, nazwisko, numer telefonu, adres e-mail, adres zamieszkania i korespondencyjny, a także dane dotyczące narodowości. Co szczególnie niepokojące, wśród pozyskanych informacji znalazły się numery PESEL, dane z dowodów osobistych, w tym daty wydania i ważności dokumentu, a także informacje finansowe, takie jak numery rachunków bankowych i dane o pracodawcach: nazwy firm, adresy, NIP oraz służbowe telefony kontaktowe. Ujawniono również dane o stanie cywilnym, liczbie dzieci oraz statusie zawodowym. Tak szeroki zestaw danych daje przestępcom pełne możliwości do dokonywania kradzieży tożsamości oraz składania fałszywych wniosków kredytowych w imieniu ofiar.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski nie krył powagi sytuacji. W publicznym wpisie podkreślił, że incydent jest jednym z najpoważniejszych naruszeń bezpieczeństwa danych w historii polskiego sektora finansowego. W działania zaangażowały się krajowe zespoły reagowania na incydenty: CSIRT KNF oraz CSIRT NASK, które rozpoczęły analizę sposobu włamania oraz skalę naruszenia. Równolegle o sprawie poinformowano Prezesa Urzędu Ochrony Danych Osobowych, a SuperGrosz zapowiedział indywidualne powiadomienie każdej osoby, której dane mogły zostać ujawnione.
Choć nie ujawniono oficjalnie, kto stoi za atakiem, eksperci zwracają uwagę, że sposób działania wskazuje na wysoką precyzję techniczną i znajomość infrastruktury systemowej SuperGrosz. Wśród możliwych hipotez pojawia się zarówno możliwość działania zorganizowanej grupy przestępczej z Europy Wschodniej, jak i pojedynczego aktora z doświadczeniem w inżynierii oprogramowania i analizie zabezpieczeń aplikacji webowych.
SuperGrosz w swoim oświadczeniu zapewnił, że hasła użytkowników były przechowywane w postaci zaszyfrowanych skrótów (hashy), co ogranicza ryzyko ich bezpośredniego odczytania. Jednak specjaliści od bezpieczeństwa przestrzegają, że nawet zahashowane hasła mogą zostać odtworzone, jeśli zastosowano słabe algorytmy lub nie dodano tzw. soli – unikalnego składnika zwiększającego bezpieczeństwo skrótu. Dlatego też wszystkim użytkownikom zalecono natychmiastową zmianę haseł, nie tylko w serwisie SuperGrosz, ale również we wszystkich innych miejscach, w których mogły zostać użyte te same dane logowania.
Wśród konsekwencji tego incydentu najpoważniejszym zagrożeniem jest możliwość kradzieży tożsamości. Ujawnienie tak szerokiego zestawu danych osobowych oznacza, że przestępcy mogą posługiwać się nimi do wyłudzania pożyczek, zakładania kont bankowych, a nawet zawierania umów w imieniu ofiar. W związku z tym rząd zalecił wszystkim potencjalnie poszkodowanym zastrzeżenie numeru PESEL w aplikacji mObywatel, co blokuje możliwość jego wykorzystania w procesach kredytowych i finansowych.
Atak na SuperGrosz pokazuje też, jak duże wyzwania stoją przed polskim sektorem fintech. Firmy z tej branży przetwarzają codziennie ogromne ilości danych, w tym najbardziej wrażliwe informacje finansowe i osobowe. Ochrona tych danych wymaga nie tylko inwestycji w technologię, ale przede wszystkim świadomości, że cyberbezpieczeństwo nie kończy się na zaporze sieciowej i certyfikacie SSL. Konieczne jest regularne testowanie odporności systemów, audyty bezpieczeństwa, a także budowanie kultury organizacyjnej, w której każdy pracownik rozumie wagę ochrony danych.
Dla klientów incydent ten jest bolesną lekcją cyfrowej ostrożności. Pokazuje, że nawet najbardziej znane i legalnie działające serwisy finansowe mogą paść ofiarą włamania, a dane raz ujawnione w sieci mogą krążyć po niej latami. Użytkownicy powinni regularnie monitorować swoją historię kredytową, korzystać z usług ostrzegających przed próbami zaciągnięcia zobowiązań oraz zachować wyjątkową czujność wobec wszelkich wiadomości i telefonów, w których ktoś prosi o potwierdzenie danych osobowych.
Incydent w SuperGrosz bez wątpienia stanie się punktem odniesienia w dyskusjach o bezpieczeństwie danych w Polsce. To nie tylko sprawdzian dla systemów ochrony informacji, lecz także dla zaufania społecznego wobec usług finansowych online. W epoce, w której cyfrowa tożsamość jest równie cenna jak majątek materialny, każde takie wydarzenie przypomina, że bezpieczeństwo w sieci to proces a nie stan.
O autorze
