W poniedziałek 3 listopada 2025 roku w Polsce doszło do poważnego incydentu cybernetycznego, który dotknął system płatności mobilnych BLIK. Operator systemu, Polski Standard Płatności (PSP), potwierdził, że powodem zakłóceń była aktywność atakująca — konkretnie atak typu DDoS.
Podmiot zaatakowany
Ofiarą jest system BLIK — powszechnie używany w Polsce mechanizm płatności mobilnych. To rozwiązanie, które umożliwia użytkownikom banków wykonanie płatności w sklepie stacjonarnym lub online, wypłaty z bankomatów oraz przelewy na numer telefonu. Udziałowcami owego systemu są m.in. banki: PKO Bank Polski, mBank, ING Bank Śląski, Bank Millennium, Santander Bank Polska oraz partner finansowy Mastercard.
Podmiot atakujący / zasięg ataku
Operator zakomunikował, że obserwowany jest „zewnętrzny atak typu DDoS”, czyli klasyczny atak polegający na zalewaniu infrastruktury ofiary ogromną ilością zapytań z wielu źródeł, co ma na celu jej przeciążenie i uniemożliwienie prawidłowego działania. Choć nie wskazano konkretnej grupy hakerskiej ani kraju pochodzenia, to ten scenariusz wskazuje na działanie wymierzone w polską infrastrukturę rozliczeniową o czym wspomniał wicepremier i minister cyfryzacji.
Data, czas i długość ataku
- Atak został oficjalnie zgłoszony w poniedziałek 3 listopada 2025 r., około godziny 14:00.
- Wcześniej, w sobotę 1 listopada, również wystąpiła awaria systemu BLIK, której przyczyną również wskazano atak typu DDoS.
- W poniedziałek problemy zaczęły się przed południem i znaczące ograniczenia w działaniu systemu trwały aż do wieczora — operator komunikował, że od godziny ok. 18:30 użytkownicy nie powinni już mieć problemów z realizacją płatności.
- Czas identyfikacji przyczyny i rozpoczęcia działań wynosił kilka godzin — od momentu wzrostu zgłoszeń (około godz. 13:30–14:00) do komunikatu o przywracaniu płynności wieczorem.
Rodzaj ataku i analiza przypadku
Atak to klasyczny model DDoS (Distributed Denial of Service). W praktyce oznacza to, że infrastruktura systemu BLIK była bombardowana wielką liczbą zapytań lub sztucznie wygenerowanego ruchu, który przeciążał serwery, powodując, że funkcje podstawowe takie jak generowanie kodów BLIK, zatwierdzanie transakcji zaczęły zawodzić lub działać z dużymi opóźnieniami.
W przypadku systemu płatności mobilnych takiego rozmiaru (BLIK wykonuje codziennie miliony transakcji) nawet krótkotrwałe zakłócenie generuje znaczący efekt domina: sklepy stacjonarne i internetowe nie mogą przyjąć płatności, użytkownicy nie mogą wypłacić gotówki, banki i partnerzy są zmuszeni reagować w trybie kryzysowym.
Straty
Na chwilę obecną nie opublikowano pełnych danych o wartościach pieniężnych strat. Nie ma informacji o tym, by środki zostały utracone w wyniku kradzieży, atak nie polegał na wycieku danych czy bezpośrednim wyłudzeniu, lecz na zakłóceniu działania systemu. Niemniej jednak skutki takie jak:
- niemożność dokonania płatności przez użytkowników,
- zatrzymanie przepływu transakcji w handlu i usługach,
- naruszenie zaufania do systemu,
stanowią wymierną stratę ekonomiczną i operacyjną dla całego ekosystemu.
W komunikatach operatora pojawiła się informacja, że osoby, których transakcja została zatwierdzona lecz środki zostały zablokowane, automatycznie otrzymają zwrot.
Okup
W tym przypadku nie ma informacji o żądaniu okupu przez atakujących — nie jest to atak ransomware ani typowy przypadek kradzieży danych z żądaniem zapłaty. Skala i charakter wskazują raczej na zakłócenie usługi (disruption) niż na chęć uzyskania korzyści finansowej wprost.
CVE i techniczne szczegóły luki
Nie zostały podane żadne konkretne identyfikatory typu CVE (Common Vulnerabilities and Exposures), co sugeruje, że nie chodziło o wykorzystanie konkretnej, znanej luki w oprogramowaniu, lecz o tradycyjną taktykę przeciążenia — atak DDoS — który nie wymaga „wejścia” przez lukę w kodzie, a polega na zakłóceniu dostępności usługi przez nadmierny ruch.
Podjęte kroki zabezpieczające i niwelujące skutki
Operator systemu BLIK, Polski Standard Płatności, poinformował o podjęciu następujących działań:
- monitorowanie ruchu w czasie rzeczywistym i wykrycie gwałtownego wzrostu aktywności wskazującej na atak zewnętrzny.
- wdrożenie działań operacyjnych mających na celu odciążenie infrastruktury i przywrócenie przepustowości systemu.
- komunikacja z użytkownikami oraz bankami – informacja, że od ok. 18:30 sytuacja powinna zostać opanowana i użytkownicy nie powinni doświadczać już zakłóceń.
- zapewnienie zwrotu środków w przypadkach, gdy transakcja została zatwierdzona, lecz środki zostały „zablokowane” na rachunku użytkownika.
- wicepremier i minister cyfryzacji podkreślili, że infrastruktura została zabezpieczona, a służby monitorują sytuację — co wskazuje na koordynację między sektorem prywatnym (PSP) a publicznym.
Inne cenne informacje w temacie
- To już drugi incydent w krótkim czasie dotyczący BLIK-a, pierwszy miał miejsce w sobotę 1 listopada.
- W okresie pierwszego półrocza 2025 użytkownicy systemu BLIK wykonywali średnio ok. 7,7 miliona transakcji dziennie, zaś rocznie system obsługuje miliardy operacji co pokazuje, jak szeroki wpływ mają zakłócenia.
- W komunikatach operatora oraz w mediach pojawiają się ostrzeżenia, iż polski sektor bankowy i fintech-owy znajduje się pod stałą presją ataków m.in. raporty wskazują znaczny wzrost liczby ataków na instytucje finansowe.
- Dla użytkownika końcowego: jeśli transakcja została zatwierdzona, a środki zablokowane. Operator deklaruje automatyczny zwrot. Jeżeli to nie nastąpi w ciągu 48 h zalecany jest kontakt z bankiem lub wydawcą aplikacji bankowej.
Podsumowanie
Opisany atak na system BLIK pokazuje, jak poważne konsekwencje dla codziennej operacyjności mogą mieć zakłócenia w funkcjonowaniu infrastruktury płatniczej. Choć nie doszło do masowego wycieku danych czy kradzieży środków (przynajmniej według dostępnych informacji), to blokada lub ograniczenie możliwości realizacji płatności może prowadzić do znacznych kosztów dla przedsiębiorców, banków oraz użytkowników. Szybka reakcja operatora i koordynacja ze służbami państwowymi były kluczowe, aby ograniczyć szkody. Jednak fakt, że jest to już kolejna tego typu awaria, wskazuje na rosnące zagrożenie dla sektora finansowego.
O autorze
