Atak hakerski na giganta deweloperskiego. Wyciekły wrażliwe dane klientów Dom Development

Jeden z największych deweloperów mieszkaniowych w Polsce padł ofiarą cyberprzestępców. Dom Development S.A. potwierdza, że doszło do nieuprawnionego pobrania danych z firmowych systemów. W ręce hakerów mogły trafić nie tylko numery PESEL i dowodów osobistych, ale także informacje o stanie zdrowia, zadłużeniu oraz szczegóły transakcji.

Klienci spółki Dom Development S.A. otrzymali w ostatnich dniach niepokojące komunikaty dotyczące bezpieczeństwa ich danych osobowych. Deweloper przyznał oficjalnie, że stał się celem zaawansowanego ataku wymierzonego w infrastrukturę IT przedsiębiorstwa. W wyniku tego incydentu doszło do przełamania zabezpieczeń i wycieku informacji znajdujących się w bazach danych spółki.

Przedstawiciele dewelopera nie ukrywają powagi sytuacji. Jak czytamy w przesłanym do klientów oświadczeniu, przeprowadzona wewnętrznie weryfikacja wykazała, że incydent ma charakter bezpośredni. – Analiza przeprowadzona przez Spółkę prowadzi do wniosku, iż atak mógł dotyczyć również Państwa danych – informuje zespół ochrony danych osobowych Dom Development.

Największe obawy budzi zakres danych, które mogły zostać przejęte przez osoby nieuprawnione. Zgodnie z informacjami przekazanymi przez administratora, w bazie dotkniętej naruszeniem znajdował się niezwykle szeroki katalog informacji, przy czym ich konkretny zestaw zależy od tego, co dany klient przekazał deweloperowi na etapie współpracy. W przypadku klientów obecnych, byłych oraz potencjalnych, lista ta obejmuje podstawowe dane identyfikacyjne, takie jak imiona, nazwiska, adresy zamieszkania, zameldowania i korespondencyjne, a także numery PESEL i NIP.

Sprawa jest jednak znacznie bardziej skomplikowana, ponieważ wyciek dotyczy również szczegółowych danych z dokumentów tożsamości. Cyberprzestępcy mogli wejść w posiadanie numerów i rodzajów dokumentów, dat ich ważności oraz nazw organów wydających. Co więcej, w przejętych bazach znajdowały się informacje ściśle finansowe i majątkowe. Mowa tu o numerach rachunków bankowych, numerach ksiąg wieczystych, stanie zadłużenia, a także szczegółach dotyczących realizowanych transakcji i zakupionych produktów.

Szczególny niepokój może budzić fakt, że wśród skradzionych informacji znalazły się dane wrażliwe oraz te dotyczące życia prywatnego. Deweloper wskazuje, że incydent dotyczy także informacji o preferencjach zakupowych, imion rodziców, stanie cywilnym, a nawet danych o zdrowiu. W ręce przestępców mogły trafić również informacje o ustrojach majątkowych (wspólność lub rozdzielność), zasadach nabycia nieruchomości oraz wszelkich roszczeniach i postępowaniach, w których klient brał udział.

Zagrożenie nie ominęło również osób działających w charakterze pełnomocników. W ich przypadku zakres wycieku obejmuje imiona, nazwiska, dane kontaktowe (e-mail, telefon) oraz pełne dane z dokumentów tożsamości wraz z numerem PESEL.

Przejęcie tak kompletnego profilu osobowego stwarza realne zagrożenie dla bezpieczeństwa finansowego i prawnego osób poszkodowanych. Spółka w swoim komunikacie otwarcie ostrzega przed możliwymi konsekwencjami. Najpoważniejszym ryzykiem jest próba kradzieży tożsamości, co może skutkować zaciąganiem zobowiązań finansowych na szkodę klienta. Przestępcy, dysponując tak szczegółowymi danymi, mogą podejmować próby wyłudzenia kredytów w instytucjach pozabankowych, które często weryfikują tożsamość w sposób mniej rygorystyczny niż banki.

Zagrożenia wykraczają jednak poza sferę czysto finansową. Istnieje ryzyko prób wyłudzenia świadczeń ubezpieczeniowych czy nawet nieuprawnionego skorzystania z praw obywatelskich, na przykład poprzez oddanie głosu w budżecie obywatelskim przy użyciu skradzionych danych. Ponadto, utrata kontroli nad danymi osobowymi może wiązać się z otrzymywaniem fałszywych wiadomości i telefonów, których celem będzie dalsze wyłudzanie informacji lub środków pieniężnych.

W obliczu zaistniałej sytuacji Dom Development rekomenduje podjęcie natychmiastowych kroków zaradczych. Kluczowym zaleceniem jest skorzystanie z rządowej aplikacji mObywatel w celu zastrzeżenia numeru PESEL. Jest to obecnie najskuteczniejsza metoda blokująca możliwość zaciągnięcia kredytu na skradzione dane, gdyż instytucje finansowe mają prawny obowiązek weryfikowania tego rejestru przed udzieleniem pożyczki.

Eksperci zalecają również założenie konta w systemach informacji kredytowej i gospodarczej. Pozwoli to na bieżące monitorowanie aktywności kredytowej i otrzymywanie powiadomień w przypadku, gdyby ktoś próbował zaciągnąć zobowiązanie na nasze dane. Spółka sugeruje także rozważenie wymiany dowodu osobistego, co definitywnie unieważniłoby dokument, którego dane znalazły się w rękach hakerów.

Klienci powinni zachować wzmożoną czujność wobec wszelkich prób kontaktu telefonicznego lub mailowego. Deweloper ostrzega przed otwieraniem linków z nieznanych źródeł oraz załączników, których pochodzenia nie jesteśmy pewni. Szczególną ostrożność należy zachować w sytuacji, gdy rozmówca telefoniczny prosi o weryfikację tożsamości lub potwierdzenie czynności, w których nie braliśmy udziału.

Dom Development zapewnia, że podjął szereg działań mających na celu mitygację skutków ataku. Od momentu wykrycia incydentu wdrożono dodatkowe techniczne środki bezpieczeństwa, w tym systemy klasy EDR (Endpoint Detection and Response) oraz rozwiązania antyphishingowe. Spółka zabezpieczyła również dostępność i integralność danych poprzez wykorzystanie kopii zapasowych i współpracuje z zewnętrznymi specjalistami do spraw cyberbezpieczeństwa.

Zgodnie z wymogami RODO, o zdarzeniu zostały poinformowane odpowiednie organy państwowe. Zgłoszenie wpłynęło do Prezesa Urzędu Ochrony Danych Osobowych, a sprawą zajmuje się również prokuratura. Jednocześnie deweloper uspokaja inwestorów i klientów w kwestiach bieżącej obsługi. – Spółki z grupy Dom Development S.A. prowadzą działalność operacyjną bez zakłóceń – czytamy w komunikacie.

Osoby, które chcą uzyskać więcej informacji na temat naruszenia lub swoich praw, mogą skontaktować się z Inspektorem Ochrony Danych wyznaczonym przez spółkę. Kontakt możliwy jest drogą elektroniczną pod adresem iodo@domd.pl lub listownie na adres warszawskiej siedziby firmy przy Placu Piłsudskiego.