PESEL-e pasażerów MZK mogły wyciec. Nadal nie wiadomo, kto odpowiada za incydent
Po ujawnieniu incydentu w MZK wciąż więcej jest pytań niż odpowiedzi. Z odpowiedzi przekazanej radnym wynika, że wyciek mógł objąć około 23 tys. pasażerów, a wśród potencjalnie ujawnionych danych znalazły się m.in. imię, nazwisko, adres zamieszkania oraz numer PESEL.
Najbardziej niepokojące jest jednak to, że mimo upływu kolejnych dni nadal nie ustalono ani pełnej skali zdarzenia, ani osób odpowiedzialnych za naruszenie bezpieczeństwa danych. Sprawa pozostaje otwarta, a analiza techniczna wciąż trwa.
Radni pytają o skalę wycieku i zabezpieczenia
Po publikacjach dotyczących incydentu radni Anna Hetman i Roman Foksowicz skierowali do prezydenta miasta interpelację, w której domagali się wyjaśnień dotyczących między innymi zakresu naruszenia, przyczyn zdarzenia oraz mechanizmów ochrony stosowanych w MZK. Zapytali też wprost, czy udało się już wskazać osoby odpowiedzialne za wyciek danych.
Odpowiedź przygotował Rafał Stelmaczonek, dyrektor Biura MZK. Z dokumentu wynika, że część okoliczności została już opisana, ale nie ma jeszcze finału postępowania wyjaśniającego. W praktyce oznacza to, że mieszkańcy poznali ogólny zarys zdarzenia, lecz kluczowe ustalenia wciąż nie są zamknięte.
Jak doszło do naruszenia danych
Z przekazanych informacji wynika, że 20 czerwca 2026 roku wykryto nieautoryzowany dostęp do systemu sprzedaży i obsługi biletów internetowych działającego pod adresem bilet.mzkjastrzebie.com. Według MZK osoba nieuprawniona uzyskała dostęp do danych zapisanych w systemie.
Jednocześnie związek zaznacza, że nie ma jeszcze pełnej pewności co do rozmiaru naruszenia. Analiza nadal trwa, dlatego liczba osób objętych incydentem może się jeszcze zmienić. To właśnie ten element sprawy budzi dziś największy niepokój pasażerów korzystających z usług MZK.
„Na obecnym etapie nie ustalono jednoznacznej przyczyny zdarzenia”
Rafał Stelmaczonek, dyrektor Biura MZK
MZK przekazuje, że system był obsługiwany przez zewnętrznego wykonawcę i miał mieć wdrożone rozwiązania takie jak autoryzacja dostępu, monitoring serwerów oraz zabezpieczenia przed próbami nieuprawnionego wejścia. Wskazano też, że wykonawca zastosował środki techniczne i organizacyjne wymagane przepisami RODO.
Mimo tych zabezpieczeń doszło jednak do skutecznego ataku. Na tym etapie nie wiadomo jeszcze, w jaki sposób napastnik przełamał ochronę ani czy problem leżał po stronie technologii, organizacji, czy konkretnej konfiguracji systemu.
Postępowanie prowadzą UODO i CERT Polska
MZK poinformowało, że incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych w terminie wymaganym przez przepisy. O zdarzeniu zawiadomiono również CERT Polska, który zajmuje się reagowaniem na incydenty cyberbezpieczeństwa.
Po wykryciu problemu podjęto działania mające ograniczyć dostęp do danych i zabezpieczyć system przed kolejnymi próbami włamania. Zaangażowano także zewnętrznych specjalistów, którzy prowadzą analizę bezpieczeństwa oraz ustalają dokładny zakres naruszenia. Dopiero po zakończeniu tych czynności mają pojawić się bardziej szczegółowe wnioski.
Na razie bez odpowiedzialnych i bez pełnej odpowiedzi
Radni pytali również o to, czy wskazano osoby odpowiedzialne za zaistniałą sytuację i czy zostaną wyciągnięte konsekwencje. MZK odpowiada, że na obecnym etapie nie przypisano jeszcze odpowiedzialności konkretnemu podmiotowi ani pracownikowi. Trwają czynności wyjaśniające prowadzone wspólnie ze specjalistami od cyberbezpieczeństwa.
To oznacza, że mieszkańcy nadal nie wiedzą, kto dopuścił do wycieku i czy zawiódł człowiek, system, czy procedury. Ostateczna ocena ma być możliwa dopiero po zakończeniu analizy technicznej i formalnej.
- incydent wykryto 20 czerwca 2026 roku,
- naruszenie mogło dotyczyć około 23 tys. pasażerów,
- wśród potencjalnie ujawnionych danych znalazły się m.in. numer PESEL i adres zamieszkania,
- sprawę zgłoszono do UODO oraz CERT Polska,
- mieszkańcy otrzymali komunikaty SMS i e-mail z zaleceniami bezpieczeństwa.
Sprawa ma znaczenie dla całej lokalnej społeczności, bo dotyczy danych osobowych tysięcy pasażerów korzystających z miejskiej komunikacji. Przy takiej skali naruszenia nawet pojedynczy wyciek PESEL-u może oznaczać konieczność zachowania szczególnej ostrożności przy sprawdzaniu kont, dokumentów i korespondencji związanej z finansami.
Na ten moment najważniejsze pozostaje oczekiwanie na wyniki dalszych analiz. Dopiero one mają odpowiedzieć na trzy kluczowe pytania: ilu dokładnie pasażerów objęło naruszenie, jak doszło do włamania i czy ktokolwiek poniesie za nie odpowiedzialność.
Informacje przekazał Urząd Miasta w Jastrzębiu-Zdroju.
Komentarze (0)
Brak komentarzy. Bądź pierwszy!