Pełna baza członków Nowej Nadziei — partii Sławomira Mentzena, wchodzącej w skład Konfederacji Wolność i Niepodległość — trafiła na jedno z popularnych forów cyberprzestępczych. Według opublikowanych przez hakerów zrzutów ekranu wyciek obejmuje m.in. imiona i nazwiska, numery PESEL, daty urodzenia, adresy zamieszkania i korespondencyjne, numery telefonów oraz adresy e-mail wszystkich zarejestrowanych członków. To już trzecia tego rodzaju skuteczna operacja wymierzona w infrastrukturę tej samej partii.
Trzeci atak na te same systemy Konfederacji, poprawy brak
Za incydentem stoi haker działający pod pseudonimem poisonivy3. Opublikowane materiały oznaczył tagiem „V3″, co wskazuje, że dwa wcześniejsze włamania również były jego dziełem. Sam sprawca twierdzi, że po poprzednich incydentach partia nie usunęła żadnej z podatności, które umożliwiły mu dostęp — i że wejście do systemu w tym przypadku było równie łatwe jak za pierwszym razem. Oprócz bazy członków złoczyńca pobrał też ponad 60 wewnętrznych dokumentów partyjnych. Dalszą ekstrakcję miały uniemożliwić ograniczenia pamięci serwera.
Opublikowane zrzuty ekranu pokazują panel administracyjny systemu zarządzania członkostwem z podziałem na kategorie: Kandydaci, Członkowie, Kandydaci do SM, Święci Członkowie, Nieczłonkowie SM oraz Sympatycy. Widoczne są też narzędzia do masowej wysyłki wiadomości do zarejestrowanych osób.
Haker poinformował również, że pracownicy partii są podatni na phishing i nie stosują podstawowych zabezpieczeń przed tego rodzaju atakami. Infrastruktura webowa partii ma być, według jego słów, tak samo nieodporna jak przy poprzednich włamaniach.
Zagrożone dane małoletnich, konieczna interwencja UODO
Nowa Nadzieja uchodzi za partię o najmłodszym elektoracie i bazach członkowskich w polskim parlamencie, co potwierdzają dane z wycieku, w którym widać wiek zarejestrowanych osób, w tym potencjalnych małoletnich. Partia wywodzi się z ugrupowania KORWiN, od 2022 roku jest kierowana przez Mentzena i dysponuje siedmioma mandatami w Sejmie. W pierwszej turze wyborów prezydenckich w 2025 roku Mentzen uzyskał około 15 procent głosów, zajmując trzecie miejsce.
Zakres ujawnionych danych czyni ten przypadek poważnym naruszeniem w rozumieniu zarówno polskiego prawa, jak i unijnego rozporządzenia o ochronie danych osobowych (RODO). Partia jako administrator danych jest zobowiązana zgłosić incydent do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od powzięcia o nim wiadomości. Jeśli naruszenie stwarza wysokie ryzyko dla praw i wolności osób fizycznych — a w tym przypadku, ze względu na numery PESEL, pełne adresy, przynależność polityczną i wiek, próg ten jest ewidentnie przekroczony — partia ma też obowiązek poinformować bezpośrednio każdego z poszkodowanych członków.
Na moment publikacji tego artykułu Nowa Nadzieja ani Konfederacja nie wydały żadnego oświadczenia w sprawie incydentu.