Ingram Micro potwierdza skalę wycieku po ubiegłorocznym cyberataku – 42 tys. poszkodowanych

Globalny dystrybutor technologii Ingram Micro ujawnił szczegóły ataku ransomware z lipca 2025 roku. W wyniku incydentu doszło do wycieku danych osobowych ponad 42 tys. osób, głównie pracowników i kandydatów do pracy. Sprawa pokazuje skalę ryzyka, z jakim mierzą się dziś nawet największe organizacje IT.

Skala incydentu i zakres wykradzionych danych

Z dokumentów notyfikacyjnych złożonych u prokuratora generalnego stanu Maine wynika, że nieuprawniona strona uzyskała dostęp do wewnętrznych repozytoriów plików spółki między 2 a 3 lipca 2025 roku. W przejętych dokumentach znalazły się dane o bardzo szerokim zakresie wrażliwości.

3 lipca 2025 roku wykryliśmy incydent cyberbezpieczeństwa dotyczący części naszych systemów wewnętrznych. Niezwłocznie rozpoczęliśmy dochodzenie, aby ustalić jego charakter i skalę. Na podstawie ustaleń stwierdziliśmy, że nieuprawniona strona pobrała określone pliki z naszych wewnętrznych repozytoriów – przekazała firma w oficjalnym piśmie.

Jak podkreślono, pliki obejmowały dokumentację kadrową oraz dane kandydatów do pracy. Wśród nich znalazły się imiona i nazwiska, dane kontaktowe, daty urodzenia, a także numery dokumentów tożsamości wydanych przez administrację publiczną, w tym numery Social Security, praw jazdy oraz paszportów. W części przypadków chodziło również o informacje związane z przebiegiem zatrudnienia i ocenami pracowniczymi.

Paraliż operacyjny i ransomware

Atak z lipca 2025 roku miał także wymiar operacyjny. Infrastruktura wewnętrzna i strona internetowa spółki przestały działać, co zmusiło firmę do czasowego przejścia pracowników na tryb pracy zdalnej. Dopiero po kilku dniach systemy zaczęły wracać do normalnego funkcjonowania.

Choć Ingram Micro nie wskazał oficjalnie sprawców, potwierdził, że w trakcie incydentu na systemach uruchomiono ransomware. Wcześniej serwis BleepingComputer informował, że za sprawą stoi grupa SafePay, która po kilku tygodniach sama przyznała się do ataku, publikując wpis na swoim portalu wycieków i deklarując kradzież 3,5 TB danych.

SafePay i nowa fala podwójnego wymuszenia

SafePay pojawił się publicznie we wrześniu 2024 roku i od tego czasu dodał setki ofiar do swojego serwisu wycieków. Rzeczywista liczba poszkodowanych firm może być jednak znacznie wyższa, ponieważ publikowane są głównie te przypadki, w których okup nie został zapłacony.

Grupa stosuje model podwójnego wymuszenia. Najpierw wykrada dane, następnie szyfruje systemy ofiary, grożąc ujawnieniem informacji w sieci. Od początku 2025 roku SafePay stopniowo wypełnia lukę po rozbitych strukturach LockBit oraz BlackCat, stając się jednym z najbardziej aktywnych podmiotów w ekosystemie cyberprzestępczym.

Dla branży technologicznej incydent w Ingram Micro jest kolejnym sygnałem ostrzegawczym. Nawet organizacje obsługujące setki tysięcy klientów i generujące dziesiątki miliardów dolarów przychodów rocznie nie są odporne na dobrze przygotowane ataki ransomware.