Cyberatak na system e-biletów MZK Jastrzębie: wyciek PESEL i adresów pasażerów

Jedna noc wystarczyła, by dane pasażerów komunikacji miejskiej trafiły w niepowołane ręce. Międzygminny Związek Komunikacyjny w Jastrzębiu-Zdroju potwierdził incydent dotyczący bazy użytkowników systemu e-bilet i apeluje: warto jak najszybciej zastrzec numer PESEL oraz zachować szczególną czujność wobec prób kontaktu ze strony osób podszywających się pod instytucje.

We wtorek 24 czerwca 2026 rano część pasażerów otrzymała ostrzegawcze wiadomości SMS. MZK informował w nich o naruszeniu bezpieczeństwa danych i wskazywał, że wśród wykradzionych informacji znalazły się numery PESEL. Związek rekomenduje zastrzeżenie numeru i ostrożność wobec nieoczekiwanych telefonów, SMS-ów oraz e-maili.

Włamanie do e-biletu. Co ustalono do tej pory?

Informacja o cyberataku pojawiła się na stronie Międzygminnego Związku Komunikacyjnego już 23 czerwca. Z komunikatu wynika, że osoby nieuprawnione uzyskały dostęp do bazy danych pasażerów, powiązanej z usługą e-bilet. Chodzi o bazę pasażerów MZK korzystających z systemu biletowego.

Okoliczności incydentu potwierdził także prezes Zarządu MZK, Grzegorz Dulemba. Jak przekazano, do włamania hakerskiego w systemie e-bilet doszło w nocy z soboty na niedzielę.

Z przykrością informujemy, że w wyniku cyberataku osoby nieuprawnione uzyskały dostęp do bazy danych pasażerów MZK.

Międzygminny Związek Komunikacyjny w Jastrzębiu-Zdroju

Jakie dane mogły zostać przejęte?

MZK wskazuje konkretnie, jakiego rodzaju informacje znalazły się w bazie, do której dostęp uzyskali hakerzy. To zestaw danych pozwalający na identyfikację osoby, a w skrajnych przypadkach również na próby wykorzystania tożsamości w obrocie gospodarczym.

• imię i nazwisko,
• adres zamieszkania,
• adres e-mail,
• numer PESEL.

Co robi MZK po incydencie i dlaczego to ważne dla pasażerów?

Związek informuje, że po wykryciu zdarzenia wyłączono zaatakowane serwery, zabezpieczono logi systemowe i podjęto działania ograniczające skutki naruszenia. Jednocześnie MZK współpracuje ze specjalistami oraz właściwymi organami, a zdarzenie zostało zgłoszone zgodnie z obowiązującymi przepisami.

Ryzyko nie kończy się na samym wycieku. Mając w ręku imię, nazwisko, adres, e-mail i PESEL, przestępcy mogą próbować budować wiarygodne scenariusze oszustwa. MZK wprost wskazuje, że posiadanie tych danych przez osoby nieuprawnione zwiększa ryzyko kilku typów nadużyć:

• podszywanie się pod pasażerów w kontaktach telefonicznych lub elektronicznych,
• próby wyłudzenia dodatkowych danych,
• próby zawierania umów lub zaciągania zobowiązań na cudze dane.

Jak się zabezpieczyć? Lista zaleceń krok po kroku

Najważniejsza rekomendacja dotyczy zastrzeżenia numeru PESEL. To rozwiązanie może utrudnić wykorzystanie danych do działań finansowych wykonywanych na czyjąś tożsamość. Równie istotna jest ostrożność w sytuacji, gdy ktoś niespodziewanie prosi o podanie kodu lub danych logowania.

1. Zachowaj czujność wobec nieoczekiwanych telefonów, SMS-ów i e-maili.
2. Nie przekazuj haseł, kodów SMS, kodów BLIK ani danych logowania.
3. Zastrzeż numer PESEL w aplikacji mObywatel lub w urzędzie gminy.
4. Regularnie sprawdzaj informacje w Biurze Informacji Kredytowej oraz historię zobowiązań finansowych.
5. Jeżeli zauważysz podejrzane próby wykorzystania danych, zgłoś sprawę odpowiednim służbom.

W najbliższym czasie pasażerowie mogą spodziewać się dalszych informacji o skali naruszenia i kolejnych działaniach naprawczych. Na teraz kluczowe pozostaje ograniczenie ryzyka: zastrzeżenie PESEL oraz ostrożność w kontaktach, które mogą wyglądać na „urzędowe” lub „bankowe”, a w rzeczywistości być elementem oszustwa.