Wyciek danych klientów Lidla. Jak uniknąć phishingu
2026-07-11
Po wycieku danych klientów Lidla mogą pojawić się wiarygodne e-maile, SMS-y i telefony. Sprawdź, jakie dane ujawniono i jak reagować.

TL;DR
Lidl poinformował część klientów sklepu internetowego o incydencie u zewnętrznego dostawcy usług teleinformatycznych. Według komunikatu nieznani sprawcy uzyskali na krótki czas dostęp do oddzielnie przechowywanego pliku i przejęli część znajdujących się w nim informacji.
Ujawniony zakres obejmuje imię i nazwisko, numer telefonu, adres e-mail, datę urodzenia oraz numer klienta. Lidl wykluczył naruszenie haseł, adresów rozliczeniowych i dostawy, danych bankowych oraz informacji o płatnościach. Firma nie potwierdziła również przejęcia kont klientów.
To nie oznacza jednak, że ujawnione dane są bezużyteczne dla przestępców. Mogą posłużyć do przygotowania spersonalizowanych e-maili, SMS-ów i telefonów podszywających się pod Lidl, firmę kurierską, bank albo rzekome centrum pomocy po wycieku. Każdą wiadomość o rekompensacie, potwierdzeniu danych lub zabezpieczeniu konta należy sprawdzić poza linkiem i numerem podanym przez nadawcę.
Co wiadomo o wycieku danych klientów Lidla
Wiadomość skierowaną do klientów opublikował Niebezpiecznik, a informacje o incydencie opisały także polskie media. Z komunikatu wynika, że zdarzenie dotyczyło jednego z dostawców usług teleinformatycznych współpracujących z Lidlem, a nie samego systemu sklepu internetowego.
Lidl przekazał, że sprawcy przez krótki czas mieli dostęp do oddzielnie przechowywanego pliku zawierającego dane klientów i przejęli część jego zawartości. Firma wymieniła pięć kategorii danych:
- imię i nazwisko,
- numer telefonu,
- adres e-mail,
- datę urodzenia,
- numer klienta sklepu internetowego.
Według stanu na 11 lipca 2026 roku publicznie nie podano liczby osób objętych incydentem, nazwy dostawcy ani technicznego sposobu uzyskania dostępu. Nie ma również potwierdzenia, że ujawnione informacje zostały już wykorzystane w kampanii oszustw.
Lidl poinformował, że dostawca zabezpieczył systemy, zawiadomił organy ścigania i zaangażował ekspertów informatyki śledczej. Powiadomiony został także właściwy organ nadzorczy do spraw ochrony danych osobowych.
Dlaczego wyciek bez haseł nadal zwiększa ryzyko phishingu
W komunikatach o incydentach odbiorcy często skupiają się na jednym pytaniu: czy wyciekło hasło albo numer karty. W tym przypadku odpowiedź Lidla brzmi „nie”, co ogranicza ryzyko bezpośredniego przejęcia konta lub wykonania płatności na podstawie samych ujawnionych danych.
Ryzyko socjotechniczne wygląda inaczej. Oszust nie musi znać hasła, aby przekonać odbiorcę do jego podania. Prawdziwe imię, nazwisko, numer telefonu, data urodzenia i informacja o relacji ze sklepem internetowym pozwalają stworzyć wiadomość, która nie wygląda jak masowy spam.
Przestępca może na przykład zadzwonić do klienta po imieniu, podać jego datę urodzenia jako rzekomy element weryfikacji, a następnie poprosić o „dokończenie zabezpieczenia konta”. Może też wysłać wiadomość dotyczącą konkretnego incydentu, który odbiorca zna już z mediów lub z autentycznego komunikatu Lidla.
To klasyczny mechanizm opisany szerzej w poradniku co to jest phishing: część prawdziwych informacji buduje wiarygodność, a fałszywa instrukcja prowadzi do przekazania kolejnych danych, kodu autoryzacyjnego lub pieniędzy.
Jak mogą wyglądać oszustwa po incydencie Lidla
Poniższe scenariusze są możliwymi sposobami wykorzystania ujawnionych danych. Nie są potwierdzonymi kampaniami powiązanymi z tym incydentem.
Fałszywa rekompensata lub kupon
Wiadomość może obiecywać zwrot pieniędzy, bon zakupowy albo rekompensatę za naruszenie danych. Link prowadzi wtedy do formularza, który prosi o dane karty, logowanie do banku, kod BLIK lub opłatę aktywacyjną.
Rzekome zabezpieczenie konta
E-mail lub SMS może informować o konieczności potwierdzenia tożsamości, ustawienia nowego hasła albo odblokowania konta. Strona otwarta z linku może przypominać serwis Lidla, ale służyć do przejęcia danych logowania.
Problem z zamówieniem lub dostawą
Ponieważ incydent dotyczy klientów sklepu internetowego, wiarygodna może wydać się informacja o wstrzymanym zamówieniu, brakującym adresie, niedopłacie albo konieczności ponownego wyboru dostawy. Taki wariant może przyjąć formę smishingu.
Telefon od „działu bezpieczeństwa”
Osoba dzwoniąca może znać imię, numer telefonu i datę urodzenia klienta. Te dane nie dowodzą, że rozmówca jest pracownikiem Lidla. Mogą jedynie pochodzić z ujawnionego pliku albo z innych dostępnych zbiorów.
Rozmówca może próbować przekierować kontakt do banku, poprosić o instalację aplikacji, podanie kodu SMS lub wykonanie przelewu zabezpieczającego. Ten mechanizm odpowiada vishingowi, czyli phishingowi prowadzonemu głosowo.
Fałszywa ankieta po incydencie
Formularz może być przedstawiony jako badanie jakości obsługi, potwierdzenie zakresu naruszenia albo wniosek o usunięcie danych. Celem może być zebranie numeru PESEL, danych dokumentu, adresu zamieszkania lub informacji finansowych, których według Lidla nie było w ujawnionym zestawie.

Ujawnione dane mogą uwiarygodnić kontakt, ale nie potwierdzają tożsamości nadawcy. Bezpieczny punkt zatrzymania to samodzielne otwarcie oficjalnej strony lub użycie znanego wcześniej kanału kontaktu.
Jak sprawdzić wiadomość podszywającą się pod Lidl
Nie oceniaj autentyczności wyłącznie na podstawie logo, imienia w treści, numeru klienta albo informacji o wycieku. Po incydencie właśnie te elementy mogą być prawdziwe.
Najbezpieczniejsza weryfikacja polega na przerwaniu ścieżki narzuconej przez nadawcę:
- Nie korzystaj z linku, przycisku, kodu QR ani numeru telefonu zawartego w wiadomości.
- Otwórz stronę sklepu samodzielnie, wpisując znany adres w przeglądarce albo używając oficjalnej aplikacji.
- Sprawdź, czy na koncie rzeczywiście znajduje się komunikat o wymaganym działaniu.
- W razie wątpliwości skontaktuj się z obsługą przez dane opublikowane w oficjalnym serwisie.
- Nie przekazuj kodów SMS, kodów BLIK, danych karty ani hasła osobie, która sama rozpoczęła kontakt.
Adres nadawcy także trzeba czytać od prawej strony domeny, a nie na podstawie nazwy wyświetlanej w skrzynce. Wiadomość może prezentować nazwę „Lidl”, mimo że została wysłana z obcej domeny. Sam poprawny adres nie powinien jednak kończyć weryfikacji, ponieważ wiadomości mogą pochodzić z przejętej skrzynki albo być elementem dłuższej rozmowy.
Co powinien zrobić klient, który otrzymał informację o wycieku
Najpierw trzeba ustalić, czy mowa o autentycznym zawiadomieniu, czy o wiadomości wykorzystującej medialny kontekst incydentu. Komunikat Lidla nie powinien prowadzić do formularza wymagającego danych karty, hasła, kodu jednorazowego ani opłaty.
Jeżeli użytkownik otrzymał autentyczną informację o naruszeniu, ale nie reagował na późniejsze podejrzane wiadomości, nie ma podstaw do automatycznego blokowania karty lub zmiany wszystkich haseł wyłącznie na podstawie zakresu opisanego przez Lidl. Firma wykluczyła ujawnienie haseł i danych płatniczych.
Rozsądne działania obejmują natomiast:
- zwracanie szczególnej uwagi na wiadomości powołujące się na incydent, zwrot pieniędzy, kupon lub weryfikację konta,
- samodzielne logowanie do sklepu, zamiast używania linków z wiadomości,
- kontrolowanie nietypowych prób resetu hasła i powiadomień o logowaniu,
- sprawdzenie, czy hasło używane w sklepie jest unikalne,
- poinformowanie domowników, jeśli mają dostęp do tego samego numeru telefonu lub skrzynki i mogą odebrać fałszywy kontakt.
Podejrzany e-mail, stronę lub połączenie można zgłosić przez formularz CERT Polska. Podejrzane SMS-y można przekazać na bezpłatny numer 8080, zgodnie z instrukcją na Liście Ostrzeżeń CERT Polska. Warto zachować pełną treść wiadomości, adres nadawcy, numer telefonu i adres strony.
Co zrobić, jeśli to już się stało
Sposób reakcji zależy od tego, co zostało wykonane po otrzymaniu podejrzanej wiadomości.
Kliknięto link, ale nie podano danych
Zamknij stronę i nie wracaj do niej. Jeżeli przeglądarka pobrała plik, nie uruchamiaj go. Zgłoś adres do CERT Polska. Samo otwarcie strony nie oznacza automatycznie przejęcia konta, ale dalsze działania zależą od tego, czy pobrano plik, nadano uprawnienia albo pojawił się komunikat o instalacji.
Podano hasło do konta Lidl
Wejdź do sklepu przez samodzielnie wpisany adres i zmień hasło. Jeżeli to samo hasło było używane gdzie indziej, zmień je również w tych usługach, zaczynając od poczty e-mail. Sprawdź dane profilu, historię zamówień i aktywne sesje, jeśli serwis udostępnia taką funkcję.
Podano hasło do poczty
Zmień hasło u dostawcy poczty, zakończ aktywne sesje, sprawdź reguły przekazywania wiadomości i włącz uwierzytelnianie wieloskładnikowe. Poczta często służy do resetowania dostępu do wielu innych kont.
Przekazano dane karty, kod BLIK lub zatwierdzono operację
Niezwłocznie skontaktuj się z bankiem przez numer z aplikacji, strony banku lub karty. Zablokuj kartę albo rachunek zgodnie z instrukcją banku i zgłoś nieautoryzowaną operację. Nie korzystaj z numeru podanego przez rozmówcę.
Zainstalowano aplikację lub uruchomiono plik
Odłącz urządzenie od sieci i skontaktuj się z IT lub specjalistą bezpieczeństwa. W urządzeniu firmowym zgłoś incydent natychmiast, nawet jeśli nie widać żadnych objawów. Nie próbuj samodzielnie usuwać śladów, jeśli organizacja może potrzebować ich do analizy.
Podano numer PESEL lub dane dokumentu
Lidl nie wymienił numeru PESEL ani danych dokumentu wśród ujawnionych informacji. Jeżeli jednak zostały przekazane oszustowi w kolejnym kontakcie, rozważ zastrzeżenie numeru PESEL i zgłoszenie podejrzenia kradzieży tożsamości. UODO wskazuje, że narzędzia dostępne w mObywatelu mogą pomóc ograniczyć ryzyko nieuprawnionego wykorzystania danych. Zakres dalszych działań powinien odpowiadać faktycznie przekazanym informacjom.
Co ten incydent oznacza dla firm i e-commerce
Dla organizacji incydent jest przypomnieniem, że ryzyko nie kończy się na własnej infrastrukturze. Dane klientów mogą być eksportowane, przetwarzane lub czasowo przechowywane przez dostawców. Jeden plik poza głównym systemem może stać się źródłem kolejnej fali oszustw.
Firmy działające w e-commerce powinny przygotować jednocześnie reakcję techniczną, prawną i komunikacyjną. Po wykryciu naruszenia potrzebne są co najmniej:
- szybkie ustalenie kategorii danych i grup osób objętych incydentem,
- potwierdzenie, czy dostęp był jednorazowy, czy nadal trwa,
- analiza logów, kopii plików, kont serwisowych i uprawnień dostawcy,
- monitorowanie domen podobnych do marki i fałszywych kampanii reklamowych,
- jasny komunikat opisujący, czego firma nigdy nie będzie żądać przez e-mail, SMS lub telefon,
- gotowy skrypt dla obsługi klienta i jeden oficjalny kanał aktualizacji informacji,
- proces zgłaszania podejrzanych wiadomości przez klientów i pracowników.
W relacjach z dostawcami warto sprawdzać nie tylko deklarowany poziom zabezpieczeń, lecz także praktykę eksportowania danych, czas ich przechowywania, szyfrowanie, kontrolę dostępu, rejestrowanie pobrań i zdolność do szybkiego odtworzenia przebiegu zdarzenia.
Program security awareness powinien uwzględniać sytuacje, w których wiadomość zawiera prawdziwe dane i odnosi się do realnego incydentu. Kontrolowane testy phishingowe dla firm mogą sprawdzić, czy pracownicy przerywają narzuconą ścieżkę, samodzielnie weryfikują kontakt i szybko zgłaszają podejrzaną wiadomość.
Takie ćwiczenia są jednym z elementów odporności organizacji. Nie zastępują zarządzania dostawcami, ograniczania dostępu do danych, monitoringu ani procedur reagowania na naruszenia.
Jak komunikować naruszenie, aby nie ułatwić oszustom pracy
Komunikat do klientów powinien odpowiadać na pytania, które później wykorzysta przestępca: jakie dane zostały objęte incydentem, jak firma będzie się kontaktować, czego nie będzie wymagać i gdzie można sprawdzić aktualne informacje.
Ogólne zdanie o możliwym phishingu jest mniej użyteczne niż konkretna instrukcja. Odbiorca powinien wiedzieć, że firma nie będzie żądać płatności za zabezpieczenie konta, kodu BLIK, instalacji aplikacji, podania hasła ani przejścia do banku przez link z wiadomości.
Ważne jest także aktualizowanie komunikatu, gdy pojawią się nowe ustalenia. Brak informacji o skali, dostawcy i sposobie uzyskania dostępu nie powinien być uzupełniany przypuszczeniami. Organizacja może jasno oddzielić fakty potwierdzone od elementów nadal badanych.
Konkretna zasada na koniec
Po wycieku prawdziwe dane w wiadomości nie potwierdzają prawdziwości nadawcy. Gdy kontakt dotyczy zabezpieczenia konta, zwrotu pieniędzy, kuponu lub weryfikacji tożsamości, przerwij narzuconą ścieżkę i sprawdź sprawę przez samodzielnie otwartą stronę albo znany wcześniej kanał kontaktu.
Jeżeli Twoja organizacja potrzebuje scenariuszy testów opartych na realnych decyzjach użytkowników i procedurze zgłaszania, skontaktuj się z PHISHLY.
Najczęstsze pytania
Jakie dane klientów Lidla zostały ujawnione?
Według komunikatu Lidl przejęte dane obejmowały imię i nazwisko, numer telefonu, adres e-mail, datę urodzenia oraz numer klienta sklepu internetowego.
Czy wyciekły hasła lub dane kart płatniczych?
Lidl poinformował, że incydent nie objął haseł, adresów rozliczeniowych i dostawy, danych bankowych ani innych informacji o płatnościach. Firma wskazała też, że konta klientów nie zostały przejęte.
Czy po incydencie trzeba od razu zmienić hasło do konta Lidl?
Z opublikowanego zakresu incydentu nie wynika, aby hasła zostały ujawnione. Hasło należy jednak niezwłocznie zmienić, jeśli zostało wpisane na stronie otwartej z podejrzanej wiadomości albo jest używane także w innych serwisach.
Jak może wyglądać phishing po wycieku danych Lidla?
Oszuści mogą podszywać się pod Lidl i wysyłać informacje o rekompensacie, blokadzie konta, potwierdzeniu danych, zwrocie pieniędzy, kuponie lub problemie z zamówieniem. Prawdziwe imię, numer telefonu lub data urodzenia mogą służyć do uwiarygodnienia wiadomości.
Gdzie zgłosić podejrzany e-mail lub SMS podszywający się pod Lidl?
Podejrzaną wiadomość lub stronę można zgłosić przez formularz incydent.cert.pl. Podejrzane SMS-y można także przekazać do CERT Polska na bezpłatny numer 8080.
Źródła
- LIDL informuje o wycieku danych części klientów— Treść komunikatu przesłanego przez Lidl klientom sklepu internetowego, zawierającego zakres ujawnionych danych i zalecenia po incydencie.
- Wyciek danych klientów Lidla. Sklep z pilnym apelem— Materiał prasowy opisujący incydent, wiadomość do klientów oraz ostrzeżenie przed phishingiem i nadużyciem tożsamości.
- Ochrona przed oszustwami— Rekomendacje Urzędu Ochrony Danych Osobowych dotyczące reagowania na próby oszustwa i nieuprawnione wykorzystanie danych.
- Zgłoś incydent— Oficjalny formularz CERT Polska do zgłaszania podejrzanych wiadomości, stron i incydentów cyberbezpieczeństwa.
- Lista Ostrzeżeń przed niebezpiecznymi stronami— Informacja CERT Polska o zgłaszaniu podejrzanych stron i przekazywaniu fałszywych wiadomości SMS na numer 8080.
- Zastrzeż PESEL— Oficjalna informacja o usłudze zastrzegania numeru PESEL, przydatnej po faktycznym ujawnieniu lub nadużyciu danych umożliwiających kradzież tożsamości.