Isti darkweb profil: Nakon školske baze, na prodaju 200.000 osobnih podataka Hrvata
ISTI korisnički profil koji je prošlog tjedna na dark forumu objavio bazu s podacima više od 560.000 učenika i nastavnika sada nudi novu bazu s 200.000 osobnih podataka građana. U objavi tvrdi da su podaci uzeti iz jedne privatne tvrtke još 2024. godine te da ta tvrtka proboj osobnih podataka nikada nije prijavila nadležnima. Autentičnost cijele baze zasad nije službeno potvrđena.
Podaci se prodaju za 440 eura, odnosno 500 dolara, a plaćanje je moguće isključivo u kriptovalutama. Prema objavi, baza sadrži četiri kategorije podataka: puno ime i prezime, datum rođenja, kućnu adresu i OIB.
Kombinacija tih podataka čini gotovo potpun profil za krađu identiteta, lažno predstavljanje prema financijskim institucijama, teleoperaterima i javnim institucijama, ali i za ciljane phishing napade. Prema navodima iz objave, većina zapisa odnosi se na građane iz Splita i Zagreba, a zatim iz Šibenika, Makarske, Rijeke, Dubrovnika i Osijeka.
Podaci navodno ukradeni još sredinom 2024., a nitko nije prijavljen
Posebno je znakovito, ako su ti navodi točni, da se u objavi naglašava kako javnost dosad nije znala za ovaj incident, iako su podaci navodno ukradeni još sredinom 2024. godine. Autor objave tvrdi i da odgovorni u toj tvrtki proboj nikada nisu prijavili "zbog zabrinutosti oko europskog GDPR-a unutar tvrtke, pa je sve gurnuto pod tepih".
Ako je to točno, moglo bi se raditi o ozbiljnom kršenju zakonskih obveza iz GDPR-a. Tvrtke su dužne prijaviti povredu osobnih podataka nadležnom tijelu, te moraju obavijestiti i osobe za koje misle da bi podaci mogli biti kompromitirani.
U objavi se navodi da je svaki zaposlenik imao pristup internoj bazi podataka te da nije bilo nikakvih sigurnosnih mjera. Korisnik koji prodaje podatke tvrdi da je na to primoran zbog financijske situacije, a podatke nudi "isključivo tvrtkama s prisutnošću u Hrvatskoj kojima su ti podaci potrebni".
Potencijalnim kupcima koji žele provjeriti autentičnost nudi se i usluga "uzorka pretraživanja po niskoj cijeni".
Povezanost s curenjem podataka učenika još nije potvrđena
Podsjetimo, prije dva dana domaću javnost potresla je vijest da su procurili podaci više od 560.000 hrvatskih učenika i nastavnika. Riječ je o jednom od najvećih sigurnosnih incidenata u povijesti hrvatskih javnih institucija.
Zasad nema potvrde da su ta dva curenja tehnički povezana, osim činjenice da ih na dark forumu objavljuje isti korisnički profil.
Istraga o curenju podataka učenika i nastavnika još traje, a stručnjaci razvijaju dvije teorije o tome kako je došlo do kompromitacije sustava. Prva je da su podaci iscurili preko neke od popratnih školskih aplikacija, a druga da se radi o curenju starije sigurnosne kopije sustava.
Poslali smo upit Agenciji za zaštitu osobnih podataka o novom incidentu. Odgovor do objave teksta nismo dobili, a objavit ćemo ga kada stigne.
Stručnjak: Krajnje je vrijeme da hrvatska poslovna zajednica shvati nužnost GDPR-a
Petar Vušković, stručnjak za GDPR i zaštitu podataka, u razgovoru za Index ističe kako su u manje od mjesec dana sigurnosni incidenti i curenja osobnih podataka pogodili gradove, turistički sektor, a sada i obrazovni sustav.
"Krajnje je vrijeme da hrvatska poslovna zajednica shvati kako usklađenost s GDPR-om nije administrativna formalnost, već nužnost. Ako edukacija nije bila dovoljna, očito će to morati biti stroži nadzor i sankcije AZOP-a", ističe Vušković.
Kako dodaje, ako su točni navodi da je informacijski sustav jedne privatne tvrtke kompromitiran još sredinom 2024. godine, postavlja se pitanje jesu li ispunjene zakonske obveze iz GDPR-a.
Voditelj obrade bio je dužan prijaviti povredu osobnih podataka AZOP-u u roku od 72 sata od saznanja za incident te, ako je postojala visoka razina rizika za prava i slobode pojedinaca, bez odgode obavijestiti osobe čiji su podaci kompromitirani.
Možda je riječ o spavaču
"Postoji i mogućnost da je napadač mjesecima ili čak godinama imao neotkriven pristup informacijskom sustavu, odnosno da je riječ o tzv. spavaču, zbog čega organizacija nije bila svjesna kompromitacije. Takvi slučajevi nisu neuobičajeni u kibernetičkim napadima.
Podaci se često ne objavljuju odmah, već tek kada napadač procijeni da će time ostvariti najveći učinak ili financijsku korist", kaže Vušković u razgovoru za Index.
Dodaje da je sada na AZOP-u da provede detaljnu istragu i utvrdi sve okolnosti incidenta. Vušković naglašava da vrijednost podataka za hakere nije u cijeni prodaje, već u mogućnosti njihove daljnje zlouporabe. Za građane čiji su podaci kompromitirani najveći su rizici krađa identiteta, ciljane phishing kampanje, prijevare i druge vrste digitalnog kriminala.
"Jednom kada osobni podaci završe na internetu, gotovo ih je nemoguće u potpunosti ukloniti. Curenje podataka slično je metastazi, informacije se šire različitim kanalima, umnažaju i s vremenom postaje gotovo nemoguće utvrditi gdje se sve nalaze", zaključuje Vušković.
