6 maja 2026 Prokuratura Okręgowa Warszawa-Praga oficjalnie wszczęła śledztwo w sprawie wycieku danych z systemów Cyfrowego Polsatu, który skala — niemal 2,87 miliona rekordów klientów — stawia incydent w pierwszej trójce największych naruszeń bezpieczeństwa w historii polskiego rynku. Nieuprawniony dostęp miał miejsce między 20 a 24 kwietnia, a w jego trakcie napastnik wyciągnął z bazy operatora dane obejmujące imiona, nazwiska, adresy korespondencyjne, numery telefonów, adresy e-mail, dane z dokumentów tożsamości, numery PESEL oraz numery NIP i REGON. Cyfrowy Polsat zapewnia, że hasła do panelu klienta oraz dane kart płatniczych nie zostały skompromitowane, ale lista tego, co wypłynęło, i tak wystarczy do bardzo bolesnych konsekwencji dla milionów osób.
Jak doszło do włamania
Według informacji ujawnionych przez operatora oraz prokuraturę, napastnik dostał się do części infrastruktury IT przez internet i przez cztery dni eksfiltrował dane. Incydent wykryto dopiero po fakcie, gdy w logach pojawiły się nietypowe obciążenia serwerów i anomalie w zachowaniu zapytań do bazy. To dość typowy scenariusz w przypadku ataków na operatorów telekomunikacyjnych — atak nie polega na spektakularnym przełamaniu zabezpieczeń, tylko na cierpliwym, niewykrywanym pobieraniu rekordów małymi porcjami. Sprawa zakwalifikowana została z artykułu 267 Kodeksu karnego, a śledztwo prowadzone jest z udziałem służb międzynarodowych, co sugeruje, że ślady prowadzą poza granice Polski.
Co istotne, Cyfrowy Polsat zaczął rozsyłać klientom indywidualne powiadomienia o tym, czyje dane mogły zostać objęte naruszeniem. Operator nie opublikował jednak żadnego mechanizmu „sprawdź mnie”, więc jedynym sposobem, by się dowiedzieć, czy się jest na liście, jest poczekanie na mail. Brak takiego narzędzia bywa krytykowany, bo w praktyce zmusza klientów do biernego oczekiwania na nieprzyjemną wiadomość.
Dlaczego wyciek PESEL-u to poważny problem
Numer PESEL w połączeniu z imieniem, nazwiskiem i adresem korespondencyjnym to dla przestępcy zestaw startowy do prób wyłudzenia kredytu, zakupu telefonu na raty albo otwarcia rachunku bankowego online. Dodanie do tego numeru dowodu osobistego — który zgodnie z komunikatem mógł być częścią wycieku — podnosi ryzyko o kolejny rząd wielkości, bo wiele instytucji finansowych weryfikuje tożsamość właśnie przez te dane, czasem bez dodatkowych zabezpieczeń biometrycznych. Numer telefonu i adres e-mail trafiają z kolei na listy do kampanii phishingowych szytych na miarę, gdzie napastnik przedstawia się jako Cyfrowy Polsat lub jako inna instytucja i prosi o „dopełnienie formalności” pod karą rozwiązania umowy.
Cyfrowy Polsat zapewnia, że hasła i dane kart płatniczych nie wyciekły, i prawdopodobnie tak rzeczywiście jest, bo te elementy w dobrze zaprojektowanej bazie są przechowywane oddzielnie (hasła w postaci skrótów, karty po stronie procesora płatności). Nie zmienia to faktu, że dane, które wypłynęły, są wystarczające do bardzo realnych szkód finansowych.
Co zrobić jeżeli jesteś klientem operatora
Pierwszy krok to zastrzeżenie numeru PESEL. Od listopada 2024 roku w Polsce działa rejestr zastrzeżeń PESEL — bezpłatna usługa, dzięki której bank albo notariusz mają obowiązek odmówić zawarcia umowy obciążającej osobę z aktywnym zastrzeżeniem. Zastrzec można i odblokować w dowolnym momencie przez aplikację mObywatel, na stronie gov.pl, w banku lub w urzędzie gminy. Nawet jeżeli nie planujesz w najbliższych tygodniach brać kredytu, warto włączyć zastrzeżenie i wyłączać je tylko na czas konkretnej operacji.
Drugi krok to monitoring zapytań kredytowych w Biurze Informacji Kredytowej. Dostęp do raportu BIK to opcja bezpłatna raz na pół roku, a płatny alert „BIK Alerty” informuje o każdym zapytaniu kredytowym dotyczącym twojego numeru PESEL — koszt to kilkadziesiąt złotych rocznie, a dla osoby z potwierdzonym wyciekiem to jeden z najlepiej wydanych wydatków.
Trzeci krok to czujność wobec maili, SMS-ów i telefonów „od Cyfrowego Polsatu”. Napastnicy mają teraz wystarczająco dużo danych, by w rozmowie podać twoje imię, nazwisko, adres i numer telefonu — to nie jest dowód, że rozmawiasz z prawdziwym konsultantem. Każde żądanie podania kodu z SMS-a, kliknięcia w link „weryfikacyjny” albo zalogowania się przez podany adres URL traktuj jak próbę phishingu. Jeżeli chcesz coś zweryfikować, rozłącz się i zadzwoń na infolinię operatora podaną na oficjalnej stronie polsatbox.pl, nie z otrzymanego maila.
Czwarty krok — i to opcja dla osób bardziej zaawansowanych — to przejrzenie, gdzie ten sam adres e-mail i numer telefonu są używane jako login do innych usług, i włączenie tam dwuskładnikowego uwierzytelniania, jeżeli jeszcze tego nie zrobiłeś. Wycieki danych z dużych baz są dzisiaj surowcem do tak zwanego credential stuffingu, w którym napastnicy próbują zalogować się z wykradzionym mailem do dziesiątek serwisów licząc, że gdzieś dany użytkownik użył tego samego hasła.
Co to oznacza dla rynku
Wyciek z Cyfrowego Polsatu to nie jest odosobniony przypadek — w ciągu ostatniego roku Polska zaliczyła kilka spektakularnych incydentów (Uniwersytet Warszawski, sieć Empik, atak na NCBJ), a statystyki branżowe wskazują na wzrost cyberataków o ponad 140 procent rok do roku. Każdy duży operator, który gromadzi miliony rekordów PESEL, jest atrakcyjnym celem, a kara administracyjna z UODO za incydent tej skali może wynieść do 4 procent globalnego obrotu — w przypadku Polsatu mówimy o potencjalnie setkach milionów złotych. Można się spodziewać, że konsekwencje regulacyjne będą długie, a operator będzie zmuszony do publicznego ujawnienia luk procesowych, które do incydentu doprowadziły.
Podsumowanie
Skala wycieku — niemal trzy miliony rekordów wraz z numerami PESEL — sprawia, że ten incydent dotknie miliony Polaków, a jego skutki będą widoczne w statystykach prób wyłudzeń kredytowych jeszcze przez wiele miesięcy. Trzy ruchy, które warto wykonać już dziś, to zastrzeżenie PESEL-u w mObywatelu, włączenie alertów BIK i podwyższona czujność wobec wszelkiej komunikacji rzekomo „od Cyfrowego Polsatu”. To kosztuje kilkanaście minut i kilkadziesiąt złotych rocznie, a potrafi uchronić przed wielomiesięcznymi próbami odkręcania kredytu wziętego na ciebie przez kogoś z drugiego końca świata.