Haker tvrdi da prodaje podatke 200.000 građana, najviše ih je navodno iz Splita i Zagreba

Nakon što je nedavno na dark webu objavljena baza s podacima više od 560.000 hrvatskih učenika i nastavnika, isti korisnički profil sada tvrdi da posjeduje novu bazu s osobnim podacima oko 200.000 građana Hrvatske.

Prema objavi na hakerskom forumu, podaci su navodno pribavljeni iz sustava jedne privatne tvrtke još tijekom 2024. godine, a incident, kako se tvrdi, nikada nije prijavljen nadležnim institucijama. Autentičnost baze za sada nije službeno potvrđena, prenosi Index.

Baza se nudi na prodaju za 500 američkih dolara, odnosno oko 440 eura, a plaćanje je moguće isključivo kriptovalutama. Navodno sadrži ime i prezime, datum rođenja, adresu stanovanja i OIB građana, što predstavlja kombinaciju podataka koja može poslužiti za krađu identiteta, lažno predstavljanje te različite vrste internetskih prijevara.

Prema navodima autora objave, najveći broj zapisa odnosi se na građane Splita i Zagreba, a zatim slijede Šibenik, Makarska, Rijeka, Dubrovnik i Osijek.

Ako se tvrdnje pokažu točnima, moglo bi se raditi o ozbiljnom kršenju Opće uredbe o zaštiti podataka (GDPR). Naime, voditelji obrade osobnih podataka obvezni su svaku povredu sigurnosti prijaviti Agenciji za zaštitu osobnih podataka (AZOP) u roku od 72 sata od saznanja za incident, a u određenim slučajevima o tome moraju obavijestiti i osobe čiji su podaci kompromitirani.

Autor objave tvrdi i da je svaki zaposlenik imao pristup internoj bazi podataka te da nisu postojale odgovarajuće sigurnosne mjere. Potencijalnim kupcima nudi i mogućnost provjere autentičnosti podataka kroz takozvano “uzorkovanje” baze uz manju naknadu.

Ovaj slučaj dolazi samo nekoliko dana nakon velikog sigurnosnog incidenta u kojem su procurili podaci više od 560.000 hrvatskih učenika i nastavnika. Za sada nema potvrde da su dva slučaja međusobno povezana, osim činjenice da ih na istom dark web forumu objavljuje isti korisnički profil.

Stručnjak za zaštitu osobnih podataka Petar Vušković upozorava kako posljednji incidenti pokazuju da hrvatske tvrtke i institucije moraju ozbiljnije shvatiti zaštitu podataka.

Ističe kako usklađenost s GDPR-om nije administrativna formalnost, već nužnost te upozorava da bi, ako su navodi o neprijavljenom proboju iz 2024. godine točni, moglo biti riječ o ozbiljnom propustu.

Vušković navodi i mogućnost da je napadač mjesecima ili čak godinama imao neotkriven pristup informacijskom sustavu, takozvani “spavač”, zbog čega organizacija možda nije ni bila svjesna kompromitacije.

Dodaje kako je najveća opasnost za građane mogućnost krađe identiteta, ciljanih phishing prijevara i drugih oblika digitalnog kriminala te upozorava da je jednom objavljene osobne podatke gotovo nemoguće u potpunosti ukloniti s interneta.

Od Agencije za zaštitu osobnih podataka zatraženo je očitovanje o novom slučaju, no odgovor do objave teksta nije stigao, piše Index.