Wyciek 30 tys. kont Facebook 2026

TL;DR

¹ Operacja o nazwie AccountDumpling ² wykorzystywała Google AppSheet jako przekaźnik phishingowy do rozpowszechniania phishingowych e-maili. ³ Skompromitowano około 30 000 kont Facebook, ⁴ które są sprzedawane przez cyberprzestępców poprzez nielegalny sklep internetowy. Pierwsza linia obrony: weryfikacja nadawcy e-maila i nigdy nie klikanie linków z wiadomości o zagrożeniu konta.

Jak działa atak

⁵ Kampania rozpoczyna się od e-maila podającego się za Meta Support, kierowanego do właścicieli kont biznesowych Facebook. Wiadomość grozi trwałym usunięciem konta i nakazuje złożenie apelacji. ⁶ E-maile są wysyłane z adresu Google AppSheet (noreply@appsheet.com), co pozwala im obejść standardowe filtry spamu — atakujący wykorzystują zaufanie do domeny Google.

⁷ Fałszywa pilność kieruje użytkowników na stronę internetową zaprojektowaną do zbierania poświadczeń. ⁸ Strony zbierają daty urodzenia, numery telefonów i zdjęcia dokumentów tożsamości. ⁹ Skradzione dane są przesyłane do kanałów Telegram kontrolowanych przez atakujących.

¹⁰ Guardio zidentyfikowała cztery główne klastry ataków:

1. Fałszywe centra pomocy Facebook — hostowane na Netlify, zbierające poświadczenia i dane tożsamości
2. Oszustwa z niebieską odznaką weryfikacyjną — przynęty obiecujące weryfikację konta, hostowane na Vercel, ukryte za fałszywym CAPTCHA, zbierające poświadczenia i kody 2FA
3. Fałszywe dokumenty PDF — hostowane na Google Drive, zawierające linki phishingowe
4. Fałszywe oferty pracy — podające się za ¹¹ WhatsApp, Meta, Adobe, Pinterest, Apple i Coca-Colę

¹² Badacz bezpieczeństwa Shaked Chen opisał operację jako „żywą operację” z panelami operatora w czasie rzeczywistym, zaawansowanym unikaniem i ciągłą ewolucją — to nie jest automatyczne rozpowszechnianie.

Skala i geografia

³ Szacunkowo 30 000 kont Facebook zostało zhakowanych. ¹³ Pierwsze trzy klastry ataków zawierały około 30 000 rekordów ofiar, głównie z USA, Włoch, Kanady, Filipin, Indii, Hiszpanii, Australii, Wielkiej Brytanii, Brazylii i Meksyku.

Atrybucja

¹⁴ Metadane z plików PDF generowanych za pomocą Canva wskazywały na wietnamskiego autora o imieniu PHẠM TÀI TÂN. ¹⁵ Osoba o tym imieniu prowadzi stronę internetową phamtaitan[.]vn, na której oferuje usługi marketingu cyfrowego — co sugeruje, że atakujący mogą maskować swoją działalność pod pozorem legalnego biznesu.

¹⁶ Warto odnotować, że podobna kampania została zgłoszona przez KnowBe4 w maju 2025 roku, co wskazuje na powtarzalny schemat działań tej grupy.

Co zrobić w 24-48h

Dla właścicieli kont biznesowych Facebook:

1. Weryfikuj nadawcę — Meta Support nie wysyła e-maili z adresów noreply@appsheet.com ani z żadnych domen spoza @meta.com lub @facebook.com. Jeśli otrzymasz taką wiadomość, to phishing.

2. Nigdy nie klikaj linków z e-maili o zagrożeniu konta — zamiast tego przejdź bezpośrednio do ustawień konta na Facebook.com. Jeśli konto rzeczywiście ma problem, zobaczysz to w panelu administracyjnym.

3. Włącz uwierzytelnianie dwuetapowe (2FA) — na koncie biznesowym Facebook. Użyj aplikacji typu Google Authenticator lub Authy, nie SMS-u (SMS jest podatny na SIM-swap).

4. Sprawdź ostatnią aktywność — w ustawieniach konta Facebook przejdź do „Ustawienia i prywatność” → „Centrum kont” → „Hasło i bezpieczeństwo” → „Miejsca, w których jesteś zalogowany/a”. Wyloguj wszystkie nieznane sesje.

5. Zmień hasło — jeśli kiedykolwiek kliknąłeś link z podejrzanego e-maila, zmień hasło natychmiast z innego urządzenia.

Dla administratorów IT:

• Dodaj noreply@appsheet.com do listy zablokowanych nadawców w systemie e-mail (chyba że Twoja organizacja rzeczywiście używa Google AppSheet — wtedy skonfiguruj dodatkową weryfikację).
• Monitoruj kanały Telegram znane z dystrybucji skradzionych danych (wymaga dostępu do threat intelligence).
• Edukuj pracowników: e-maile o zagrożeniu konta to klasyczny wektor phishingu. Nigdy nie klikaj, zawsze weryfikuj bezpośrednio.

Kontekst dla polskich firm

Chociaż ¹³ kampania dotyczy głównie użytkowników z USA, Włoch, Kanady i Azji, polskie firmy korzystające z Facebook Business (e-commerce, agencje marketingowe, media) są równie podatne na ten atak. Phishing nie zna granic geograficznych — atakujący wysyłają e-maile do wszystkich właścicieli kont biznesowych, bez względu na kraj.

Polskie regulacje, takie jak RODO (Rozporządzenie o Ochronie Danych Osobowych), nakładają obowiązek ochrony danych osobowych pracowników i klientów. Jeśli konto biznesowe Facebook zawiera dane osobowe (co jest typowe dla e-commerce), jego kompromitacja może skutkować naruszeniem RODO i grzywną do 20 mln EUR lub 4% rocznego globalnego obrotu firmy — w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 RODO).

Wskaźniki kompromitacji

Guardio nie opublikowała pełnej listy domen phishingowych (operacja jest „żywa” i stale rotuje infrastrukturę), ale następujące sygnały wskazują na kontakt z kampanią AccountDumpling:

• Nadawca e-maila: wiadomości „Meta Support” wysyłane z adresu noreply@appsheet.com (Google AppSheet) zamiast z @meta.com lub @facebook.com.
• Hosting stron phishingowych: fałszywe centra pomocy Facebooka hostowane na Netlify, strony „weryfikacji konta” / „Security Check” / „Meta | Privacy Center” hostowane na Vercel (z fałszywym CAPTCHA przed formularzem).
• Złośliwe pliki: PDF-y udające instrukcje weryfikacji konta hostowane na Google Drive, generowane w darmowym koncie Canva — w metadanych autor PHẠM TÀI TÂN.
• Eksfiltracja danych: skradzione poświadczenia, kody 2FA, daty urodzenia, numery telefonów i zdjęcia dokumentów przesyłane do kanałów Telegram kontrolowanych przez atakujących.
• Powiązana domena atrybucyjna: phamtaitan[.]vn (strona usług marketingu cyfrowego powiązana z autorem PDF-ów).

Źródła

Polecane narzędzia

• NordPass — Bezpieczny menedżer haseł od twórców NordVPN. Szyfrowanie XChaCha20, auto-uzupełnianie i audyt wycieków.

Powyższe linki to linki afiliacyjne — kliknięcie nie zwiększa ceny, a redakcja otrzymuje niewielką prowizję, która finansuje niezależne testy. Polityka afiliacji.

Zobacz też

• Koszt wycieku danych w polskiej firmie 2026 — raport redakcji
• Wycieki danych w polskich firmach 2026 [RAPORT]. Największe wpadki i kary UODO
• Jak usunąć dane z internetu — checklista 38 serwisów popularnych

Footnotes

1. Operacja została nazwana AccountDumpling przez firmę Guardio — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

2. Operacja o nazwie AccountDumpling wykorzystywała Google AppSheet jako ‘phishing relay’ do rozpowszechniania phishingowych e-maili mających na celu kompromitację kont Facebook — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

3. Szacunkowo 30 000 kont Facebook zostało zhakowanych w ramach kampanii — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩ ↩²

4. Skradzione konta są sprzedawane z powrotem przez cyberprzestępców poprzez nielegalny sklep internetowy — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

5. Phishingowe e-maile podawały się za Meta Support i kierowały do właścicieli kont biznesowych Facebook, grożąc trwałym usunięciem konta — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

6. Phishingowe e-maile były wysyłane z adresu Google AppSheet (‘noreply@appsheet.com’), co pozwalało im obejść filtry spamu — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

7. Kampania wykorzystywała fałszywe strony internetowe do zbierania poświadczeń użytkowników — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

8. Kampania zbierała daty urodzenia, numery telefonów i zdjęcia dokumentów tożsamości od ofiar — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

9. Skradzione dane były przesyłane do kanałów Telegram kontrolowanych przez atakujących — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

10. Guardio zidentyfikowała cztery główne klastry ataków, w tym strony hostowane na Netlify, Vercel, Google Drive i fałszywe oferty pracy — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

11. Fałszywe oferty pracy podawały się za firmy takie jak WhatsApp, Meta, Adobe, Pinterest, Apple i Coca-Cola — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

12. Badacz bezpieczeństwa Shaked Chen opisał operację jako ‘żywą operację’ z panelami operatora w czasie rzeczywistym, zaawansowanym unikaniem i ciągłą ewolucją — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

13. Pierwsze trzy klastry ataków zawierały około 30 000 rekordów ofiar, głównie z USA, Włoch, Kanady, Filipin, Indii, Hiszpanii, Australii, Wielkiej Brytanii, Brazylii i Meksyku — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩ ↩²

14. Metadane z plików PDF generowanych za pomocą Canva wskazywały na wietnamskiego autora o imieniu ‘PHẠM TÀI TÂN’ — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

15. Osoba o imieniu PHẠM TÀI TÂN posiada stronę internetową ‘phamtaitan[.]vn’, na której oferuje usługi marketingu cyfrowego — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩

16. Podobna kampania została zgłoszona przez KnowBe4 w maju 2025 roku — https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html ↩