Bezpośredni związek z oszustwami telefonicznymi
Wyciek danych rzadko zostaje zamknięty w firmie, którą zaatakowano. Gdy dane trafią do obiegu — imię, nazwisko, telefon, czasem PESEL czy numer konta — stają się materiałem, z którego oszust buduje spersonalizowaną wiadomość zamiast dzwonić na chybił trafił. Im więcej konkretnych informacji zna atakujący, tym trudniej odróżnić fałszywy telefon „z banku” czy „od kuriera” od prawdziwego.
Polska: rok rekordowych zgłoszeń
Analiza Departamentu Kontroli i Naruszeń UODO wskazuje, że przejęcie lub ujawnienie poświadczeń (loginów i haseł) stanowiło aż jedną trzecią wszystkich zgłoszonych naruszeń — a phishing pozostaje ich najczęstszą przyczyną.
Trzy udokumentowane przypadki pokazują skalę i różnorodność tych incydentów:
Zdrowie: dane, które nie mają terminu ważności
Wyciek danych zdrowotnych różni się od innych: w przeciwieństwie do hasła czy numeru karty, historii choroby nie da się „zresetować”. Raz ujawniona, pozostaje wykorzystywalna bez końca — to sprawia, że sektor ochrony zdrowia jest stałym celem, niezależnie od wielkości placówki.
🏥Wielkopolskie Centra Medyczne Remedium
28 maja 2026 roku placówka medyczna w Poznaniu wykryła nieuprawniony dostęp do systemów informatycznych zawierających dane pacjentów: imię, nazwisko, PESEL, numer dowodu osobistego (jeśli podany przy podpisywaniu dokumentów) oraz informacje o stanie zdrowia. Placówka określiła grono poszkodowanych jako „szeroką grupę pacjentów”, bez podania dokładnej liczby — zgłoszenie trafiło do Prezesa UODO oraz organów ścigania, a zaatakowane systemy zostały odizolowane od sieci.
cyberdefence24.pl, czerwiec 2026🖥️Internetowe Konto Pacjenta (IKP)
Między 19 a 25 kwietnia 2025 roku luka bezpieczeństwa w rządowym systemie IKP pozwalała, po ręcznej modyfikacji adresu URL w przeglądarce, na dostęp do elektronicznej dokumentacji medycznej innych użytkowników. Ministerstwo Zdrowia oficjalnie potwierdziło, że nieuprawniony dostęp dotyczył dokumentacji dokładnie czterech pacjentów (imię, nazwisko, PESEL, adres, dane dowodu osobistego, informacje zdrowotne) — przykład, gdzie oficjalnie potwierdzona liczba poszkodowanych jest precyzyjnie znana, w przeciwieństwie do wielu innych incydentów.
Ministerstwo Zdrowia, cytowane przez alertmedyczny.pl i telepolis.pl, 2025Sport: dane medyczne sportowców jako cel geopolityczny
🏅Polska Agencja Antydopingowa (POLADA)
6 sierpnia 2024 roku, w trakcie igrzysk olimpijskich w Paryżu, grupa hakerska powiązana ze służbami wrogiego państwa opublikowała na Telegramie prawie 50 000 plików (ok. 250 GB) skradzionych z komputerów i serwera POLADA: adresy, dane medyczne sportowców, raporty z kontroli antydopingowych i dokumenty prywatne. Kluczowa nauka metodologiczna: napastnicy sugerowali, że ujawnione dane pokazują pozytywne wyniki testów antydopingowych u konkretnych sportowców — POLADA oficjalnie zdementowała te twierdzenia jako „fake newsy”, podkreślając, że żaden z wymienionych sportowców nie uzyskał wyniku pozytywnego. Twierdzenie atakującego i fakt potwierdzony przez poszkodowaną instytucję to dwie różne rzeczy — UODO prowadzi odrębne postępowanie wyjaśniające.
niebezpiecznik.pl · zaufanatrzeciastrona.pl · rp.pl, sierpień 2024Turystyka: rezerwacje jako nowy rynek dla oszustów
✈️Nowa Itaka
30 października 2025 roku jedno z największych polskich biur podróży padło ofiarą ataku hakerskiego — potwierdzonego publicznie przez wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. Firma oficjalnie ujawniła, że dane logowania (imię, nazwisko, email, telefon) dotyczyły grupy 10 000 użytkowników Strefy Klienta, zaznaczając jednocześnie, że „skala wycieku może być większa” — dokładnie ten typ ostrożnego sformułowania, który pokazuje różnicę między liczbą oficjalnie potwierdzoną a górną granicą ryzyka.
rp.pl · money.pl, cytujące komunikat Itaki i wicepremiera Gawkowskiego, listopad 2025🏨System rezerwacyjny Hotres
Ujawniony 3 lipca 2026 roku atak przez wstrzyknięcie SQL (SQL injection) na system Hotres, z którego korzysta ponad 2000 polskich obiektów noclegowych, umożliwił odczyt danych rezerwacji: imię, nazwisko, email, telefon, termin i kwota pobytu. Ten przypadek ilustruje wyjątkowo bezpośrednio mechanizm opisany w dossier „Od wycieku do oszustwa”: skradzione dane rezerwacji były już wykorzystywane w czasie rzeczywistym do wiarygodnych wiadomości SMS i WhatsApp podszywających się pod hotele, z żądaniem dopłaty lub danych karty płatniczej.
niebezpiecznik.pl · e-hotelarz.pl · geekweek.interia.pl, lipiec 2026Słownik: co warto znać
Have I Been Pwned
Darmowa usługa stworzona przez badacza bezpieczeństwa Troy'a Hunta: wpisz swój email, by sprawdzić, czy pojawił się w znanym wycieku danych.
Credential stuffing
Atakujący masowo sprawdza na innych stronach dane logowania skradzione przy wcześniejszym wycieku — licząc, że używasz tego samego hasła w wielu miejscach.
Password spraying
Odwrotność klasycznego brute-force: atakujący próbuje jednego, bardzo popularnego hasła na wielu różnych kontach naraz, by nie uruchomić systemów wykrywania.
Zmęczenie MFA
Atakujący, który zna już Twoje hasło, wysyła serię próśb o potwierdzenie logowania, licząc, że w końcu klikniesz „akceptuj” z rozdrażnienia lub przez pomyłkę.
SIM swap, kolejna technika bezpośrednio powiązana z wykorzystaniem wyciekniętych danych, jest opisany w słowniku.
Najczęściej zadawane pytania
Kto w Polsce zbiera dane o wyciekach danych osobowych?
Urząd Ochrony Danych Osobowych (UODO) to polski organ nadzorczy RODO — przyjmuje obowiązkowe zgłoszenia naruszeń od firm i instytucji, prowadzi kontrole i nakłada kary finansowe. W 2025 roku otrzymał ponad 22 400 takich zgłoszeń.
Jak sprawdzić, czy moje dane wyciekły w Polsce?
Have I Been Pwned (haveibeenpwned.com) pozwala sprawdzić, czy Twój adres email pojawił się w znanej bazie wyciekniętych danych, niezależnie od kraju. W przypadku dużych polskich incydentów (np. ALAB Laboratoria) firmy mają obowiązek indywidualnie poinformować osoby, których dane dotyczyły.
Dlaczego wyciek danych prowadzi do oszustw telefonicznych?
Bo wyciek często zawiera imię, nazwisko, numer telefonu, a czasem PESEL czy numer konta bankowego — wystarczająco dużo, by zbudować wiarygodny, spersonalizowany telefon lub SMS zamiast wiadomości wysłanej losowo do przypadkowej osoby.
Dlaczego dane zdrowotne są szczególnie cenne dla przestępców?
Przede wszystkim dlatego, że nigdy „nie wygasają”: hasło można zresetować, kartę zastrzec, ale historii choroby nie da się unieważnić. Ceny takich danych na czarnym rynku są bardzo różne w zależności od źródła i typu danych — nie ma tu jednej wiarygodnej liczby — ale sama zasada pozostaje: to informacja, która pozostaje użyteczna dla oszusta praktycznie bez ograniczenia czasowego, co czyni ją systematycznie poszukiwaną, niezależnie od aktualnej ceny rynkowej.