EY bada naruszenie danych w zewnętrznym systemie zgłoszeń wsparcia - Security Bez Tabu

EY bada naruszenie danych w zewnętrznym systemie zgłoszeń wsparcia

Cybersecurity news

Wprowadzenie do problemu / definicja

Ernst & Young (EY) poinformował o incydencie bezpieczeństwa związanym z zewnętrzną platformą ITSM wykorzystywaną do obsługi zgłoszeń wsparcia dla zespołów realizujących prace podatkowe. Zdarzenie to wpisuje się w kategorię naruszeń danych w łańcuchu dostaw, w których źródłem problemu nie jest główna infrastruktura organizacji, lecz system partnera technologicznego przetwarzający dokumenty i informacje operacyjne.

Tego rodzaju incydenty pokazują, że narzędzia pomocnicze, takie jak systemy ticketowe i platformy wsparcia technicznego, mogą stać się atrakcyjnym celem ataków. Choć często nie są postrzegane jako krytyczne systemy biznesowe, w praktyce przechowują wartościowe dane klientów, załączniki, logi oraz materiały robocze.

W skrócie

EY wykrył anomalną aktywność 23 kwietnia 2026 r. w zewnętrznym systemie obsługi zgłoszeń IT. Według ustaleń firmy nieuprawniona strona miała dostęp do platformy od 28 marca do 12 kwietnia 2026 r. i pobrała dokumenty dotyczące części klientów.

Naruszone informacje mogły obejmować dane osobowe i finansowe wykorzystywane w procesie przygotowywania deklaracji podatkowych. Firma wdrożyła działania reagowania na incydent, zaangażowała zewnętrznych ekspertów oraz zaoferowała poszkodowanym 24 miesiące monitoringu tożsamości i usług przywracania.

Kontekst / historia

Platformy wsparcia technicznego i systemy ITSM od lat pozostają istotnym elementem ekosystemu przedsiębiorstw. Służą do rejestrowania zgłoszeń, rozwiązywania problemów oraz przekazywania dokumentów potrzebnych do obsługi procesów operacyjnych. Z perspektywy bezpieczeństwa oznacza to jednak koncentrację dużej ilości danych w jednym miejscu.

W przypadku EY problem dotyczył środowiska wspierającego zespoły realizujące zadania podatkowe. To szczególnie wrażliwy obszar, ponieważ dokumentacja podatkowa może zawierać dane identyfikacyjne, informacje finansowe, relacje biznesowe i szczegóły procesów wewnętrznych klientów.

Incydenty tego typu podkreślają również znaczenie bezpieczeństwa dostawców. Organizacje coraz częściej polegają na zewnętrznych usługach wspierających działalność, ale każde takie rozszerzenie środowiska zwiększa powierzchnię ataku i utrudnia pełną kontrolę nad przepływem informacji.

Analiza techniczna

Z dostępnych informacji wynika, że kompromitacja nie dotyczyła bezpośrednio głównych systemów produkcyjnych EY, lecz pośredniego środowiska używanego do obsługi zgłoszeń serwisowych. To ważne rozróżnienie, ponieważ podobne incydenty bywają trudniejsze do oszacowania niż klasyczne naruszenia ograniczone do jednej aplikacji biznesowej.

Najbardziej prawdopodobny scenariusz zakłada uzyskanie nieautoryzowanego dostępu do platformy strony trzeciej, a następnie przeglądanie i eksport załączników oraz dokumentów powiązanych ze zgłoszeniami. W praktyce atakujący nie musiał kompromitować całej infrastruktury EY, aby uzyskać cenne informacje. Wystarczające mogło być przejęcie konta uprzywilejowanego, sesji użytkownika, repozytorium ticketów lub integracji wykorzystywanej przez system wsparcia.

Kluczowym problemem w takich przypadkach jest charakter danych przechowywanych w zgłoszeniach. Pracownicy i klienci często przesyłają pełne dokumenty zamiast ograniczonych wycinków informacji, co znacząco zwiększa skutki potencjalnego wycieku.

  • dokumenty podatkowe,
  • dane identyfikacyjne klientów,
  • informacje finansowe,
  • materiały robocze wykorzystywane przy przygotowaniu deklaracji,
  • artefakty techniczne pomocne w dalszej eskalacji ataku.

Według przekazanych informacji nieuprawniony dostęp został zatrzymany, a środowisko zabezpieczone. Publicznie nie ujawniono liczby osób lub organizacji dotkniętych incydentem, nie przypisano też odpowiedzialności konkretnej grupie. Nie wskazano również związku zdarzenia z kampanią ransomware.

Konsekwencje / ryzyko

Skutki takiego naruszenia mogą być wielowymiarowe. Dane podatkowe i finansowe należą do najbardziej wrażliwych kategorii informacji, ponieważ mogą zostać wykorzystane do kradzieży tożsamości, oszustw finansowych, phishingu ukierunkowanego oraz prób podszywania się pod klientów lub doradców.

Nawet jeśli nie dochodzi do natychmiastowego nadużycia, samo pobranie dokumentów przez nieuprawniony podmiot tworzy ryzyko długoterminowe. Tego rodzaju materiały mogą zostać użyte po czasie, połączone z innymi zbiorami danych lub wykorzystane do bardziej precyzyjnych kampanii socjotechnicznych.

Dla firm doradczych i audytorskich istotne są także konsekwencje regulacyjne, kontraktowe i reputacyjne. Klienci oczekują, że organizacja chroni ich dane nie tylko we własnym centrum danych, ale również w narzędziach obsługiwanych przez partnerów technologicznych. Naruszenie w środowisku zewnętrznym nie zmniejsza skali odpowiedzialności biznesowej.

Rekomendacje

Incydent związany z EY stanowi ważny sygnał ostrzegawczy dla organizacji korzystających z zewnętrznych platform wsparcia. Bezpieczeństwo systemów ITSM powinno być traktowane na równi z ochroną kluczowych aplikacji biznesowych i repozytoriów danych klientów.

  • ograniczyć możliwość przesyłania pełnych dokumentów w zgłoszeniach, jeśli nie jest to niezbędne,
  • wdrożyć klasyfikację danych i automatyczne oznaczanie wrażliwych załączników,
  • stosować zasadę najmniejszych uprawnień dla operatorów, administratorów i integracji API,
  • wymusić silne uwierzytelnianie, najlepiej MFA odporne na phishing,
  • monitorować eksporty danych, masowe pobrania załączników i nietypowe użycie kont serwisowych,
  • szyfrować dane w spoczynku i właściwie zarządzać kluczami szyfrowania,
  • wprowadzić retencję ograniczającą czas przechowywania ticketów i załączników,
  • regularnie audytować dostawców oraz integracje z systemami wsparcia,
  • segmentować środowiska wsparcia od systemów produkcyjnych i głównych repozytoriów danych,
  • przygotować procedury szybkiego ustalania zakresu incydentu w systemach stron trzecich.

Dla klientów i osób potencjalnie objętych naruszeniem zasadne jest monitorowanie aktywności kredytowej, ostrożność wobec wiadomości dotyczących rozliczeń podatkowych oraz szybkie zgłaszanie prób podszywania się pod doradców lub partnerów biznesowych.

Podsumowanie

Sprawa EY pokazuje, że systemy wsparcia technicznego pozostają jednym z mniej oczywistych, ale bardzo wartościowych celów ataków. Nawet jeśli główne środowiska organizacji nie zostały bezpośrednio naruszone, przejęcie dostępu do platformy zgłoszeń może umożliwić pozyskanie dokumentów zawierających dane podatkowe i finansowe.

Dla przedsiębiorstw oznacza to konieczność traktowania narzędzi ITSM i usług dostawców jako pełnoprawnego elementu powierzchni ataku. Ochrona takich systemów wymaga rygorystycznych kontroli dostępu, monitoringu, ograniczania retencji danych oraz świadomego zarządzania ryzykiem w łańcuchu dostaw.

Źródła

  1. Security Affairs — https://securityaffairs.com/195550/data-breach/ernst-young-ey-investigates-data-breach-involving-third-party-support-tickets.html
  2. California Department of Justice — Data Breach Notification Sample — https://oag.ca.gov/
  3. EY — Global revenue information — https://www.ey.com/