Ostatnie miesiące dla giganta motoryzacyjnego Stellantis to pasmo czarnych chmur, a konkretnie potężnego ataku hakerskiego i jego spektakularnych konsekwencji. Właśnie na rynek wkroczyły pozwy zbiorowe w Stanach Zjednoczonych, oskarżające koncern o rażące zaniedbania w zakresie cyberbezpieczeństwa. Czy futurystyczna wizja motoryzacji ma się obronić, gdy podstawy cyfrowej higieny legły w gruzach? To pytanie, na które odpowiedzieć będą musieli prawnicy w sądzie federalnym w Michigan.
Cyberatak Everest Ransomware: Jak Stellantis stracił dane klientów?
Na przełomie 2025 roku Stellantis padł ofiarą ataku, który bez wątpienia zapisze się w historii korporacyjnych incydentów bezpieczeństwa. Hakerzy związani z grupą Everest Ransomware dokonali głębokiej penetracji systemów koncernu, co skutkowało kradzieżą kolosalnego pakietu danych osobowych klientów. Mówimy tu o informacjach wrażliwych, takich jak dane adresowe, kontaktowe, a co najgorsze – numery ubezpieczenia społecznego. To nie jest drobna awaria serwera, to wyciek, który stawia setki tysięcy osób pod groźbą kradzieży tożsamości.
Sytuacja zaogniła się, kiedy Stellantis rzekomo odmówił negocjacji i zapłaty okupu. Konsekwencje dla firmy były natychmiastowe i drastyczne: atakujący postanowili opublikować skradzione dane w sieci. Jak donosi serwis Cyberinsider, ta publiczna demonstracja i ujawnienie wrażliwych informacji stały się bezpośrednią podstawą do zainicjowania pozwu zbiorowego. Proces ten trafił właśnie na wokandę sądu federalnego w stanie Michigan.
Zarzuty wobec Stellantis: Brak podstawowych tarcz ochronnych?
Co dokładnie zarzucają poszkodowani? Pozew kreśli obraz firmy, która zignorowała elementarne zasady cyberbezpieczeństwa. Autorzy twierdzą, że Stellantis nie zastosował nawet absolutnych podstaw, które mogłyby powstrzymać lub choćby ograniczyć skalę ataku. W akcie oskarżenia pojawiają się konkretne braki, między innymi:
- Brak skutecznego szyfrowania danych.
- Brak wdrożenia wieloetapowego uwierzytelniania dostępu (MFA).
- Niewłaściwa polityka przechowywania i zarządzania informacjami.
To są fundamenty bezpieczeństwa w dzisiejszym cyfrowym ekosystemie, a oskarżenie sugeruje, że w Stellantis ich po prostu zabrakło. Taka niefrasobliwość miała, zdaniem skarżących, złamać szereg przepisów federalnych dotyczących ochrony konsumentów, a także prawo stanu Illinois, skąd pochodzi większość powodów. Prawnicy poszkodowanych mocno akcentują, że nieodpowiednie zabezpieczenia stawiały klientów „w sytuacji wysokiego ryzyka kradzieży tożsamości oraz finansowych oszustw”. W efekcie, gigant motoryzacyjny może zostać pociągnięty do odpowiedzialności za bezpodstawne wzbogacenie się na bazie niechronionych danych klientów.
Czy Stellantis ignorował sygnały ostrzegawcze?
To, co podsyca kontrowersje wokół tej sprawy, to fakt, że zarzuty nie są bezpodstawne na tle wcześniejszych incydentów. Pozew jasno wskazuje, że Stellantis otrzymywał sygnały ostrzegawcze dotyczące zagrożeń cybernetycznych na długo przed katastrofą z Everest Ransomware. W 2025 roku koncern potwierdził już incydenty związane z naruszeniem danych, które miały miejsce w systemach obsługiwanych przez firmy trzecie.
Skarżący argumentują, że te wcześniejsze wpadki, choć może mniejszej skali, powinny były wymusić na zarządzie wprowadzenie radykalnych i zdecydowanych działań w zakresie bezpieczeństwa informacji. Zaniedbanie lekcji płynących z przeszłości, przy jednoczesnym gromadzeniu wrażliwych danych, jest w oczach poszkodowanych jaskrawym przykładem zaniedbania. W efekcie, dochodzą tu zarzuty o naruszenie umów z klientami oraz łamanie ich podstawowych praw konsumenckich. Pozywający nie tylko domagają się astronomicznych odszkodowań i pokrycia kosztów prawnych, ale także wymuszenia na koncernie drastycznego wzmocnienia systemów bezpieczeństwa.
Brak oficjalnego stanowiska: Czy Stellantis chowa głowę w piasek?
W obliczu poważnych oskarżeń i toczącego się procesu sądowego, reakcja Stellantis jest… nieobecna. Według doniesień zachodnich mediów, koncern do tej pory nie wydał żadnego oficjalnego komentarza ani nie odpowiedział na prośby o dodatkowe wyjaśnienia dotyczące skali zaniedbań. Cisza w takiej sytuacji jest głośniejsza niż jakikolwiek komunikat prasowy.
Eksperci ds. cyberbezpieczeństwa biją na alarm. Brak jakiejkolwiek publicznej deklaracji rodzi fundamentalne pytania o przyszłość relacji między marką a jej klientami. Jak koncern zamierza odbudować utracone zaufanie, skoro nie kwapi się nawet do publicznego ustosunkowania się do faktu, że numery ubezpieczenia społecznego jego klientów krążą po sieci? W świecie, gdzie technologia jest integralną częścią każdego nowego pojazdu, koncerny takie jak Stellantis muszą udowodnić, że potrafią chronić dane równie skutecznie, jak produkować samochody. Dotychczasowe dowody wskazują, że na tym polu ponoszą sromotną klęskę.
