Szanowni Klienci,

Działając w imieniu AIQLABS Spółka z o.o. (dalej: „Spółka” lub „Administrator”), z przykrością informujemy o naruszeniu ochrony danych. Spółka padła ofiarą ataku hakerskiego. Nieuprawniona osoba / grupa osób uzyskała zdalny dostęp do części bazy danych klientów Spółki (administratora danych osobowych), wykorzystując do tego stworzony przez siebie kod (program komputerowy). Kierując się troską o naszych klientów, zdecydowaliśmy się podzielić z Państwem informacją o tym ryzyku.

Przepraszamy za wszelkie niedogodności związane z incydentem i zapewniamy, że traktujemy tę sprawę z najwyższą powagą. Kwestia bezpieczeństwa jest dla nas priorytetem, dlatego natychmiast podjęliśmy działania mające na celu zablokowanie nieautoryzowanego dostępu do systemu i wyeliminowaliśmy źródło problemu. Spółka wdrożyła również dodatkowe środki zaradcze, które pozwolą zminimalizować ryzyko wystąpienia podobnego zdarzenia w przyszłości.

Zapewniamy, że bezpieczeństwo Państwa danych osobowych jest dla nas priorytetem. O zaistniałej sytuacji zostali zawiadomieni CSIRT KNF, CSIRT NASK i Prezes Urzędu Ochrony Danych Osobowych.

Informację o zdarzeniu zamieściliśmy także w serwisie Bezpieczne dane – gdzie mogą Państwo zweryfikować, czy Państwa dane osobowe mogły zostać objęte naruszeniem ochrony danych osobowych.

Co się wydarzyło?

1. W piątek. 31 października 2025 roku zostało wykryte naruszenie polegające na nieuprawnionym dostępie do danych osobowych klientów Spółki (naruszenie poufności danych osobowych).
2. Przedmiotem ataku był jeden z systemów informatycznych Spółki, w którym przechowywane były dane osobowe klientów Spółki. Osoba, która przeprowadziła atak, uzyskała nieautoryzowany dostęp do części danych użytkowników posiadających Konta Klienta.
3. Zdarzenie miało charakter incydentalny i krótkotrwały i nie było umyślnym działaniem Spółki. Służby IT Spółki podjęły natychmiastowe działania celem zminimalizowania ryzyka wystąpienia negatywnych skutków tego zdarzenia.

Do jakich danych uzyskano dostęp w wyniku ataku?

1. Wśród danych, które zostały pozyskane przez osobę nieuprawnioną, znajdują się: adresy e-mail, imiona i nazwiska, informacje o narodowości, numery PESEL, dane dotyczące dowodu osobistego (numer, data wydania oraz data ważności), adresy zamieszkania lub pobytu oraz adresy do korespondencji, numery telefonów, informacje o pozostawaniu w związku małżeńskim, informacje o liczbie dzieci, dane dotyczące statusu zawodowego, nazwa, adres, NIP oraz telefon do pracodawcy, zadeklarowana branża, deklarowany dochód, numery rachunków bankowych, identyfikator w portalu Facebook, informacje o zgonie klientów oraz hashe haseł powiązane z zarejestrowanymi kontami użytkowników. Zapewniamy, że hasła do logowania na konto były „zahaszowane”. Haszowanie to proces kryptograficzny, który służy do ochrony haseł poprzez ich zamianę na unikalny skrót (hash), zamiast przechowywania ich w oryginalnej formie. Co ważne, na podstawie tych danych nie ma możliwości bezpośredniego zalogowania się do konta Klienta ani do innych systemów. W przypadku osób nieposiadających obywatelstwa polskiego, pozyskane dane mogą obejmować dane dokumentu uprawniającego do pobytu na terenie RP, tj. numer oraz rodzaj karty pobytu wraz z datą wydania oraz ważności.
2. Spółka informuje, że w odniesieniu do części klientów zakres danych osobowych, który mógł ulec naruszeniu, może być mniejszy – działając jednak z najwyższą starannością, Spółka informuje o możliwie najszerszym zakresie danych osobowych, które mogły zostać objęte naruszeniem.
3. Obecnie wiemy, że dane dotyczą grupy 10 tysięcy użytkowników, potencjalnie skala wycieku może być większa.

Jakie kroki podjęliśmy?

Spółka podjęła szereg działań w celu zaradzenia naruszeniu i zminimalizowania ryzyka wystąpienia negatywnych konsekwencji, w tym działania mające na celu przeciwdziałanie wystąpieniu podobnego zdarzenia w przyszłości, w szczególności:

1. natychmiast po uzyskaniu informacji o wystąpieniu ryzyka uzyskania dostępu do danych przez osobę nieuprawnioną, nasz zespół ekspertów podjął działania mające na celu zabezpieczenie danych Klientów Spółki i ograniczenie skutków naruszenia;
2. przeprowadziliśmy szczegółowy skan bezpieczeństwa systemów i oprogramowania w celu identyfikacji przyczyn naruszenia oraz wzmocnienia środków ochronnych, w tym podjęliśmy niezwłoczne działania celem zwiększenia efektywności środków zabezpieczających w systemie objętym naruszeniem ochrony danych osobowych;
3. aby zapobiec dalszym zagrożeniom, monitorujemy w sposób ciągły nasze systemy w celu wykrycia potencjalnych ryzyk i innej aktywności ze strony osób nieuprawnionych;
4. incydent został zgłoszony do odpowiednich organów, a Spółka deklaruje pełną gotowość do udzielania wszelkich niezbędnych informacji;
5. zintensyfikowaliśmy prace naszego działu IT w celu zwiększenia poziomu bezpieczeństwa, w tym cyberbezpieczeństwa i ochrony danych osobowych oraz planujemy wdrożenie dodatkowych środków zabezpieczających, aby zminimalizować ryzyko wystąpienia podobnych zdarzeń w przyszłości.

Jakie mogą być konsekwencje ataku?

1. Pozyskane informacje mogą zostać wykorzystane przez osoby nieuprawnione, by uzyskać dostęp do Państwa kont w innych serwisach lub w celu wyłudzenia kredytu w instytucjach pozabankowych lub zawarcia umowy cywilnoprawnej w Państwa imieniu lub na Państwa rzecz np. najmu nieruchomości lub ubezpieczenia.
2. Mogą otrzymywać Państwo niezamówione informacje handlowe (niechciane połączenia telefoniczne, spam otrzymywany na adres e-mail).
3. Osoby nieuprawnione mogą próbować wykorzystać Państwa adres e-mail i numer telefonu do prób wyłudzenia danych osobowych (podszywając się pod zaufane instytucje czy pracowników Spółki).
4. Osoby nieuprawnione mogą posłużyć się fałszywymi danymi w celu ukrycia tożsamości, np. przy otrzymywaniu mandatu – kradzież tożsamości.
5. Osoby nieuprawnione mogą posłużyć się Państwa danymi osobowymi do uzyskania informacji o Państwa statusie majątkowym lub podjęcia prób uzyskania dostępu do Państwa danych osobowych o stanie zdrowia, w sytuacjach, gdy dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając tożsamość za pomocą numeru PESEL.
6. Osoby nieuprawnione mogą założyć z użyciem Państwa danych osobowych konta internetowe (np. w serwisie społecznościowym).
7. Poczucie utraty kontroli nad danymi osobowymi.

Co zalecamy, aby chronić swoją prywatność?

1. Zmienić hasło wykorzystywane dotychczas do logowania do Panelu Klienta na supergrosz.pl.
2. Zastrzec swój numer PESEL (szczegółowe informacje o sposobie zastrzeżenia numeru PESEL dostępne są na stronie internetowej: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie).
3. Zastrzec dokument tożsamości za pośrednictwem dostępnych funkcjonalności oferowanych przez wybrane banki krajowe, platformy państwowe lub poprzez organy ścigania, a także dokonać jego wymiany.
4. Założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (np. https://www.bik.pl/klienci-indywidualni).
5. Jeśli wykorzystują Państwo to samo hasło w innych miejscach (np. sklepy internetowe, portale społecznościowe, poczta), zalecamy zmienić hasło oraz wdrożyć dwuskładnikowe uwierzytelnianie (2FA), jeśli to możliwe.
6. Zachować szczególną ostrożność w przypadku połączeń telefonicznych z nieznanych numerów, w szczególności nie używać linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach SMS.
7. Zachować wzmożoną czujność wobec prób wyłudzania informacji, które mogą wykorzystywać nazwę AIQLABS Spółka z o.o. (np. pod pretekstem aktualizacji danych do logowania) oraz dokładnie sprawdzać osoby lub podmioty, które będą próbowały uzyskać od Państwa jakiekolwiek dane osobowe.
8. Zachować ostrożność w przypadku otrzymania wiadomości e-mail z nieznanych źródeł, w szczególności nie używać linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail.
9. W przypadku powzięcia informacji o możliwości nieuprawnionego wykorzystania Państwa danych osobowych – należy niezwłocznie powiadomić organy ścigania.
10. Informujemy, że mają Państwo możliwość skorzystania ze środków ochrony dóbr osobistych, na zasadach określonych w obowiązujących przepisach.

Pragniemy potwierdzić, że Spółka każdorazowo z najwyższym priorytetem podejmuje działania mające na celu zagwarantowanie bezpieczeństwa Państwa danych osobowych. W świetle powyższego podkreślamy, że przedmiotowe naruszenie danych osobowych miało charakter incydentalny i nie wynikało z celowego działania Spółki.

Jeśli mają Państwo jakiekolwiek pytania dotyczące incydentu, uprzejmie prosimy o kontakt z naszym Biurem Obsługi Klienta pod adresem kontakt@supergrosz.pl lub telefonicznie pod numerami: 503 212 039 lub 799 626 893 lub Inspektorem Ochrony Danych pod adresem e-mail: iod@aiqlabs.pl.

Przepraszamy za wszelkie niedogodności. Dokładamy wszelkich możliwych starań, aby zminimalizować skutki incydentu.

Z wyrazami szacunku,

Zespół AIQLABS