Incydent HostedWindows.pl został ujawniony w komunikacie Powiatowego Urzędu Pracy w Aleksandrowie Kujawskim. Urząd wskazał, że 23 stycznia 2026 r. doszło do nieuprawnionego dostępu do systemu informatycznego wykorzystywanego przez dostawcę usług pocztowych w usłudze HostedWindows.pl. Zdarzenie dotyczyło poczty elektronicznej w domenie pup-alksandrowkujawski.pl, a konsekwencją mogła być możliwość uzyskania dostępu do danych zawartych w korespondencji przez osoby nieuprawnione.
To ważny typ incydentu, ponieważ w przypadku poczty zwykle nie chodzi wyłącznie o adresy i nagłówki wiadomości. Największą wartość, a zarazem największe ryzyko, stanowi treść korespondencji oraz załączniki, które często zawierają dokumenty i dane identyfikacyjne.
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Kiedy doszło do zdarzenia i kiedy o nim poinformowano?
W komunikacie PUP podano datę incydentu, 23 stycznia 2026 r., a samo zawiadomienie zostało opublikowane 2 lutego 2026 r. Urząd poinformował również, że o zdarzeniu został zawiadomiony Prezes UODO.
Temat został następnie opisany przez CyberDefence24, gdzie znalazło się potwierdzenie, że HostedWindows.pl przekazał redakcji odpowiedzi dotyczące zakresu zdarzenia oraz wskazał, że incydent dotyczył skrzynek bez włączonego 2FA.
Jakie dane mogły zostać ujawnione
Urząd opisał możliwy zakres danych wprost i jest to informacja, którą warto potraktować serio, bo jest rzetelna i precyzyjna. W korespondencji mogły znaleźć się takie dane jak adres e mail, imię i nazwisko, adres, numer telefonu, numer PESEL oraz numery dokumentów tożsamości. Jeżeli ktoś przesyłał załączniki, to ryzyko obejmuje również ich treść, czyli na przykład formularze, skany i potwierdzenia.
W praktyce oznacza to, że dwie osoby mogą być w zupełnie innej sytuacji. Jedna mogła wysłać krótką wiadomość z pytaniem organizacyjnym, druga mogła przesłać komplet dokumentów. W takich incydentach kluczowe jest więc to, co faktycznie było w Twojej korespondencji.
Incydent HostedWindows.pl i rola 2FA, dlaczego ten szczegół ma znaczenie
Według informacji przekazanych mediom HostedWindows.pl wskazał, że incydent dotyczył skrzynek, które nie wykorzystywały uwierzytelniania dwuskładnikowego, natomiast konta z włączonym 2FA nie zostały objęte incydentem. Dodatkowo podano, że dostęp został uzyskany przez lukę w oprogramowaniu firmy trzeciej, a po aktualizacji podatność została załatana.
To jest dokładnie ten moment, w którym teoria bezpieczeństwa spotyka się z praktyką. 2FA nie jest ozdobnikiem ani funkcją dla ostrożnych, tylko realną barierą, która w wielu scenariuszach zatrzymuje atak na etapie samego logowania. Jeżeli ktoś jeszcze traktuje 2FA jako coś opcjonalnego, to ten incydent jest czytelnym argumentem, żeby zmienić podejście.
Co zrobiono po incydencie?
PUP opisał działania podjęte po swojej stronie, w tym zmianę haseł do kont pocztowych, wymuszenie zmiany hasła w usłudze HostedWindows.pl, weryfikację kont i ich zawartości, aktualizację systemu oraz dodatkowy monitoring. Urząd wskazał też zawiadomienie UODO.
Z relacji prasowej wynika natomiast, że HostedWindows.pl wskazał działania naprawcze, takie jak reset haseł, ograniczenia dostępu do panelu, dodatkowe zabezpieczenia i monitoring oraz migrację usługi pocztowej na wydzielone serwery. Wspomniano również o zawiadomieniu UODO i zgłoszeniu sprawy policji wraz z materiałami dowodowymi.
Co powinieneś zrobić, jeśli pisałeś do PUP w tej domenie?
Najlepsze jest podejście spokojne, ale konkretne. Komunikat PUP zawiera sensowne zalecenia, które realnie zmniejszają ryzyko, zwłaszcza ryzyko wtórnych szkód, takich jak podszywanie się, phishing lub próby użycia Twoich danych do działań finansowych.
Po pierwsze zmień hasło do swojej poczty na nowe, unikalne i silne, najlepiej takie, którego nie używasz nigdzie indziej. Po drugie włącz 2FA na poczcie i na kluczowych usługach, zwłaszcza tam, gdzie logowanie do poczty pozwala potem resetować hasła, czyli praktycznie wszędzie. Po trzecie sprawdź historię logowań oraz ustawienia, zwracając uwagę na nietypowe reguły przekierowania i nieznane urządzenia.
I najważniejsze, przez najbliższe tygodnie miej z tyłu głowy prostą zasadę, urząd nie będzie prosił Cię mailem o pilne dopłaty, podanie haseł, przesłanie skanu dokumentu w odpowiedzi, ani o kliknięcie linku w celu weryfikacji danych. Takie wiadomości to najczęstszy mechanizm wykorzystania zamieszania po incydencie.
Urząd rekomenduje także zastrzeżenie numeru PESEL. To środek ostrożności, który ma sens zwłaszcza wtedy, gdy w korespondencji mogły znajdować się dane identyfikacyjne.
Incydent HostedWindows.pl w świetle RODO. Dlaczego komunikacja jest równie ważna jak techniczne łatki?
RODO wymaga, aby w razie naruszenia ochrony danych administrator co do zasady zgłosił je organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, o ile naruszenie może skutkować ryzykiem dla praw i wolności osób. Jeżeli naruszenie może powodować wysokie ryzyko, administrator powinien również zawiadomić osoby, których dane dotyczą, bez zbędnej zwłoki.
W praktyce oznacza to, że dobry komunikat po incydencie nie może być wyłącznie formułką. Musi podpowiadać ludziom, jak realnie ograniczyć skutki, a przy incydentach pocztowych chodzi zwykle o dwa wątki, zabezpieczenie kont i przygotowanie na podszycia.
Wnioski dla firm i instytucji, które hostują pocztę u zewnętrznych dostawców
Ten incydent pokazuje trzy rzeczy w sposób bardzo czytelny. Po pierwsze, MFA powinno być standardem organizacji, najlepiej wymaganiem politykowym i technicznym, bo w praktyce często decyduje, czy atak kończy się na próbie logowania, czy przechodzi do dostępu do skrzynek. Po drugie, trzeba mieć realne, operacyjne ustalenia z dostawcą dotyczące aktualizacji i zarządzania podatnościami, bo luka w komponencie firmy trzeciej potrafi pojawić się i zostać wykorzystana szybciej, niż organizacja zdąży zareagować organizacyjnie. Po trzecie, warto ograniczać ilość danych wrażliwych przesyłanych mailem, a jeżeli to konieczne, zadbać o zasady szyfrowania załączników oraz rozsądną retencję.
FAQ, pytania i odpowiedzi o Incydencie HostedWindows.pl
Czy Incydent HostedWindows.pl dotyczył całej poczty urzędu?
Z publicznych informacji wynika, że zdarzenie dotyczyło skrzynek w domenie pup-aleksandrowkujawski.pl, a według relacji prasowej HostedWindows.pl wskazało, że incydent dotyczył skrzynek bez włączonego 2FA. Nie ma publicznej informacji, ile dokładnie kont było narażonych.
Czy wiadomo, czy doszło do wycieku danych?
Komunikat urzędu mówi o możliwości uzyskania dostępu lub pozyskania danych przez osoby nieuprawnione. W relacji prasowej pojawia się ostrożna informacja, że mogło dojść do eksfiltracji dla skrzynek bez 2FA, co oznacza, że ryzyka nie da się jednoznacznie wykluczyć na podstawie samych komunikatów.
Jakie dane mogły być narażone w tym incydencie?
PUP wskazał, że w korespondencji mogły znaleźć się m.in. adres e-mail, imię i nazwisko, adres, numer telefonu, numer PESEL oraz numery dokumentów tożsamości. Zakres ryzyka zależy od tego, co dana osoba przesyłała w treści wiadomości i załącznikach.
Czy 2FA naprawdę pomaga, czy to tylko “dodatkowe utrudnienie”?
W kontekście Incydentu HostedWindows.pl 2FA ma znaczenie praktyczne, bo w przekazie HostedWindows.pl wskazano, że konta z włączonym 2FA nie miały zostać objęte incydentem. 2FA nie rozwiązuje wszystkich problemów, ale zwykle radykalnie utrudnia przejęcie konta.
Co jest największym ryzykiem po takim naruszeniu?
Często nie jest to jednorazowy dostęp do maili, tylko późniejsze podszycia, phishing i próby wyłudzeń, które wykorzystują dane oraz kontekst sprawy, na przykład wiadomości „w nawiązaniu do wniosku” albo „pilne dopłaty”. To bywa bardziej dotkliwe niż sam incydent techniczny.
Co powinienem zrobić, jeśli wysyłałem do urzędu skany dokumentów?
Zabezpiecz swoje konto pocztowe, zmień hasło, włącz 2FA, sprawdź logowania i ustawienia przekierowań. Następnie przez pewien czas traktuj z dystansem każdą wiadomość, która nawiązuje do tamtej sprawy i prosi o dodatkowe dane, przelew lub kliknięcie linku, najlepiej weryfikuj takie prośby innym kanałem.
Czy powinienem zastrzec numer PESEL?
PUP rekomenduje zastrzeżenie PESEL jako środek ostrożności. Ma to szczególny sens, jeżeli w korespondencji mogły znaleźć się dane identyfikacyjne, albo jeżeli chcesz ograniczyć ryzyko nadużyć tożsamości.
Czy UODO i policja zostały powiadomione?
PUP wskazał, że poinformował UODO. W relacji prasowej pojawia się informacja, że HostedWindows.pl również zawiadomił UODO, a policja otrzymała zgłoszenie wraz z materiałami dowodowymi.
Czy jeśli nie pisałem do urzędu, to Incydent HostedWindows.pl mnie nie dotyczy?
Bezpośrednio ryzyko dotyczy osób, które korespondowały z domeną objętą incydentem. Pośrednio to jest kolejny sygnał, że warto mieć włączone 2FA na poczcie, używać unikalnych haseł i uważać na phishing, bo podobne zdarzenia zdarzają się także w innych organizacjach.
Jak zabezpieczać załączniki w mailach na przyszłość?
Jeżeli musisz wysyłać dokumenty, rozważ szyfrowanie plików, hasło przekazane innym kanałem oraz ograniczanie ilości danych w samym mailu. Poczta jest wygodna, ale nie zawsze jest najlepszym miejscem na przechowywanie i przesyłanie dokumentów identyfikacyjnych.
| Redakcja BPPZ.pl
