
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ernst & Young (EY) poinformował o naruszeniu danych wynikającym z przejęcia zewnętrznego systemu obsługi zgłoszeń wykorzystywanego przez personel IT. To kolejny przykład incydentu z obszaru łańcucha dostaw, w którym atak na usługę pomocniczą prowadzi do ekspozycji dokumentów zawierających dane wrażliwe.
Systemy ticketowe i platformy wsparcia technicznego są często postrzegane jako narzędzia administracyjne, jednak w praktyce przechowują załączniki, dane kontaktowe, identyfikatory klientów oraz dokumenty operacyjne i finansowe. Z tego powodu ich kompromitacja może mieć skutki porównywalne z naruszeniem głównych systemów biznesowych.
W skrócie
Napastnicy uzyskali nieautoryzowany dostęp do zewnętrznej platformy zgłoszeniowej używanej przez zespoły IT EY i pobrali z niej wiele dokumentów. Według ujawnionych informacji aktywność intruza trwała od 28 marca do 12 kwietnia 2026 r., natomiast anomalię wykryto 23 kwietnia 2026 r.
- Źródłem incydentu był zewnętrzny system wsparcia.
- Doszło do pobrania dokumentów z platformy.
- Zagrożone mogły być dane osobowe i finansowe powiązane z procesami podatkowymi.
- EY zabezpieczył środowisko, zgłosił sprawę organom ścigania i uruchomił usługi monitorowania tożsamości.
Kontekst / historia
Incydenty dotyczące systemów wsparcia technicznego zyskują na znaczeniu, ponieważ właśnie tam często trafiają informacje, które użytkownicy i pracownicy przesyłają w celu rozwiązania problemu. Mogą to być skany dokumentów, formularze, dane identyfikacyjne oraz materiały związane z procesami podatkowymi i administracyjnymi.
W przypadku EY znaczenie zdarzenia jest szczególne ze względu na skalę działalności firmy i charakter obsługiwanych danych. Organizacje świadczące usługi audytowe, doradcze i podatkowe przetwarzają duże wolumeny informacji regulacyjnych i finansowych, dlatego naruszenie nawet pośredniego narzędzia może wywołać istotne skutki dla klientów oraz partnerów biznesowych.
Fakt, że incydent dotyczył platformy zewnętrznej, podkreśla rosnące ryzyko związane z zależnościami od dostawców. W praktyce bezpieczeństwo organizacji jest dziś tak silne, jak bezpieczeństwo usług, z którymi integruje swoje procesy.
Analiza techniczna
Z dostępnych informacji wynika, że nieautoryzowana strona uzyskała dostęp do zewnętrznego systemu zgłoszeń wykorzystywanego przez personel IT EY. Między 28 marca a 12 kwietnia 2026 r. napastnicy mieli pobrać wiele dokumentów przechowywanych w platformie, co wskazuje na eksfiltrację danych, a nie jedynie krótkotrwały podgląd zasobów.
Istotny jest profil danych, jakie zwykle trafiają do podobnych systemów. W zgłoszeniach wsparcia mogą znajdować się materiały przesyłane jako załączniki, formularze potrzebne do analizy problemu, dane klientów oraz informacje procesowe związane z obsługą spraw podatkowych i administracyjnych.
EY wskazał, że zgłoszenia mogły zawierać dokumenty obejmujące informacje podatkowe klientów. Taki scenariusz oznacza potencjalną ekspozycję danych osobowych i finansowych wykorzystywanych przy przygotowywaniu rozliczeń podatkowych. Nie ujawniono pełnej liczby poszkodowanych ani kompletnego katalogu typów danych, co ogranicza możliwość dokładnej oceny skali incydentu.
Na uwagę zasługuje również oś czasu zdarzenia. Dostęp intruza miał trwać do 12 kwietnia, a wykrycie anomalii nastąpiło dopiero 23 kwietnia 2026 r. Taki odstęp może świadczyć o luce detekcyjnej wynikającej z niewystarczającego monitorowania środowiska zewnętrznego, ograniczonej telemetrii lub słabej integracji logów dostawcy z procesami SOC po stronie organizacji.
Do momentu ujawnienia nie pojawiły się informacje publicznie wiążące ten incydent z grupą ransomware lub kampanią wymuszeniową. Nie zmienia to jednak faktu, że wykradzione dane mogą zostać wykorzystane w dalszych nadużyciach, w tym w oszustwach podatkowych, spear phishingu i kradzieży tożsamości.
Konsekwencje / ryzyko
Najpoważniejsze zagrożenie dotyczy ekspozycji danych osobowych i finansowych klientów. Jeżeli w pobranych dokumentach znajdowały się informacje wykorzystywane do przygotowania rozliczeń podatkowych, skutki mogą wykraczać daleko poza sam moment naruszenia.
- kradzież tożsamości,
- wyłudzenia finansowe,
- oszustwa podatkowe,
- precyzyjnie ukierunkowany phishing,
- wtórne ataki na klientów i partnerów biznesowych.
Dla samej organizacji incydent niesie także ryzyko operacyjne, regulacyjne i reputacyjne. Naruszenie po stronie dostawcy może uruchomić obowiązki notyfikacyjne, wymusić przegląd relacji kontraktowych oraz doprowadzić do audytu mechanizmów kontroli bezpieczeństwa stosowanych wobec partnerów technologicznych.
Ważnym problemem jest również możliwość niedoszacowania skali naruszenia. Jeżeli organizacja nie dysponuje pełną widocznością w systemie dostawcy, może mieć trudności z ustaleniem pełnej listy pobranych plików, liczby dotkniętych klientów, sposobu uzyskania dostępu oraz tego, czy wszystkie ścieżki dostępu zostały skutecznie zamknięte.
Rekomendacje
Incydent EY powinien skłonić organizacje do przeglądu zabezpieczeń systemów wsparcia i całego ekosystemu dostawców. Szczególnej uwagi wymagają nie tylko same platformy ticketowe, ale również sposób przechowywania danych, nadawania uprawnień i reagowania na zdarzenia w środowiskach zewnętrznych.
- Minimalizacja danych w zgłoszeniach: dokumenty zawierające dane wrażliwe powinny trafiać do ticketów wyłącznie wtedy, gdy są absolutnie niezbędne.
- Silne uwierzytelnianie: konta administratorów i agentów wsparcia powinny być chronione przez MFA odporne na phishing.
- Zasada najmniejszych uprawnień: dostęp do zgłoszeń i załączników powinien być ściśle ograniczony do ról, które rzeczywiście go wymagają.
- Monitoring i detekcja eksfiltracji: należy logować pobrania załączników, masowe eksporty danych, nietypowe logowania i działania uprzywilejowane oraz integrować te dane z systemami SOC.
- Ocena bezpieczeństwa dostawców: umowy powinny uwzględniać wymagania dotyczące szybkiej notyfikacji o incydentach, szyfrowania, retencji danych i prawa do audytu.
- Retencja danych: system ticketowy nie powinien pełnić roli długoterminowego repozytorium dokumentów finansowych czy podatkowych.
- Gotowość do reagowania: plany IR powinny obejmować scenariusze naruszeń po stronie dostawców zewnętrznych.
- Działania po stronie klientów: osoby objęte incydentem powinny monitorować swoją tożsamość, zachować ostrożność wobec wiadomości dotyczących podatków i finansów oraz obserwować próby nadużyć.
Podsumowanie
Przypadek EY pokazuje, że poważne naruszenie danych nie musi zaczynać się od ataku na główne systemy organizacji. Wystarczy kompromitacja narzędzia pomocniczego, które z czasem staje się cennym repozytorium informacji biznesowych, operacyjnych i podatkowych.
Najważniejszy wniosek dla zespołów bezpieczeństwa jest jasny: systemy ticketowe, portale serwisowe i inne platformy wsparcia należy traktować jak środowiska przetwarzające dane wrażliwe. Oznacza to konieczność stosowania tego samego poziomu kontroli dostępu, monitorowania i nadzoru, jaki organizacje wdrażają dla swoich systemów podstawowych.
Źródła
- BleepingComputer – Ernst & Young discloses data breach after support system hack — https://www.bleepingcomputer.com/news/security/ernst-and-young-discloses-data-breach-after-support-system-hack/
- Office of the Attorney General, California – Sample breach notification referenced in disclosures — https://oag.ca.gov/
- EY – Global organization and revenue information — https://www.ey.com/