Dinamo: incydent bezpieczeństwa nie dotknął bezpośrednio stron klubowych, karty i hasła nie zostały skompromitowane
GNK Dinamo opublikował 3 czerwca 2026 r. zaktualizowany komunikat dotyczący incydentu bezpieczeństwa po tym, jak dzień wcześniej pojawiły się doniesienia o możliwym wycieku danych związanych z członkami klubu. Według klubowego komunikatu obecnie dostępne informacje wskazują, że incydent nie wydarzył się bezpośrednio na stronach internetowych GNK Dinamo. Klub podaje, że dane kart bankowych i hasła nie zostały objęte incydentem, ale potwierdza, że incydent obejmował ograniczone kategorie danych osobowych części członków. Dinamo przekazało, że osoby dotknięte incydentem nie zostaną powiadomione wyłącznie publicznym komunikatem, lecz także indywidualnie, pocztą elektroniczną, jeżeli incydent dotyczy ich danych. W tym samym oświadczeniu klub apeluje o ostrożność z powodu możliwych fałszywych wiadomości, zwłaszcza w okresie po publicznych informacjach o zdarzeniu dotyczącym bezpieczeństwa.
Klub zaangażował zewnętrznych ekspertów
Według zaktualizowanego komunikatu GNK Dinamo, po otrzymaniu informacji o możliwym incydencie bezpieczeństwa wszczęto wewnętrzne dochodzenie, a do postępowania włączono zewnętrznych, niezależnych ekspertów ds. bezpieczeństwa i innych specjalistów. Klub podaje, że celem dochodzenia jest ustalenie okoliczności incydentu, jego zakresu i możliwych konsekwencji dla członków, których dane znajdują się w systemach wykorzystywanych przez Dinamo. Dinamo powołało się w komunikacie także na informacje uzyskane od podmiotu przetwarzającego, twierdząc, że według tych informacji nie istnieje zagrożenie innymi incydentami tego samego rodzaju. Takie sformułowanie wskazuje, że sprawdzana jest również rola zewnętrznych systemów lub partnerów, którzy w imieniu klubu przetwarzają określone dane, jednak z publicznie dostępnego komunikatu nie wynika szczegółowy techniczny opis ataku. Klub dodatkowo przekazał, że podejmowane są działania na rzecz wzmocnienia bezpieczeństwa wszystkich danych, bez wskazania konkretnych środków technicznych.
Dinamo podkreśla, że według dotychczasowych informacji incydent nie objął wszystkich członków ani tych samych kategorii danych u każdej osoby. Klub podał, że wśród potencjalnie objętych kategorii mogą znajdować się imię, nazwisko, OIB, dane kontaktowe oraz inne dane, jeśli dany członek sam pozostawił je w systemie. Taka różnica jest ważna, ponieważ ryzyko dla osoby nie zależy tylko od tego, czy jakiś system został dotknięty incydentem, ale także od tego, jaki rodzaj danych był dostępny, ile danych jest powiązanych z tą samą osobą i czy taka kombinacja może zostać wykorzystana do oszustwa lub kradzieży tożsamości. Dinamo zapowiada dlatego indywidualne informowanie tych, których incydent dotyczy. W sprawach pytań i obaw związanych z danymi klub podał w komunikacie kontakt do swojego inspektora ochrony danych, adres dpo@gnkdinamo.hr.
Co nie zostało objęte według komunikatu klubu
Najważniejszy przekaz ze zaktualizowanego komunikatu Dinama dotyczy danych finansowych i dostępowych. Klub wyraźnie podaje, że nie zostały objęte dane kart ani dane haseł. Ta informacja istotnie zmniejsza część bezpośredniego ryzyka, które istniałoby w przypadku kompromitacji numerów kart, kodów bezpieczeństwa lub danych uwierzytelniających do dostępu do kont użytkowników. Nie oznacza to jednak, że dane osobowe, które ewentualnie zostały objęte incydentem, nie mogą zostać nadużyte. Imię i nazwisko, OIB, adres e-mail, numer telefonu lub adres zamieszkania mogą posłużyć do bardziej przekonujących fałszywych wiadomości, prób socjotechniki, podszywania się lub łączenia z danymi z innych źródeł.
Według wcześniejszych doniesień medialnych wiadomość o możliwym ataku hakerskim rozpowszechniła się 2 czerwca 2026 r., gdy opublikowano twierdzenia, że dane członków Dinama zostały skompromitowane. Index pisał w kontekście tych doniesień, że w publikacjach związanych z atakiem wspominano około 50 tysięcy rekordów, czyli 52 009 unikalnych rekordów, oraz że jako sygnatariusze domniemanego ataku wymieniana jest grupa przedstawiająca się jako serbska grupa hakerska. Te doniesienia nie zostały w całości potwierdzone komunikatem Dinama. Klub w zaktualizowanym oświadczeniu potwierdził ograniczony zakres incydentu i określone kategorie danych osobowych, ale nie opublikował ostatecznej liczby dotkniętych członków ani technicznych szczegółów dotyczących źródła incydentu. Dlatego w tym momencie najprecyzyjniej jest mówić o incydencie bezpieczeństwa o ograniczonym zakresie, z zastrzeżeniem, że szczegóły nadal opierają się na dostępnych, a nie ostatecznych informacjach.
Dlaczego członków szczególnie ostrzeżono przed fałszywymi wiadomościami
Dinamo w komunikacie zaleciło członkom ostrożność z powodu podejrzanych i fałszywych e-maili, regularną zmianę haseł oraz używanie wystarczająco złożonych haseł. Takie ostrzeżenie jest zwyczajowe po incydentach, w których mogły zostać objęte dane kontaktowe, ponieważ atakujący nie muszą mieć hasła ani danych kart, aby podjąć próbę oszustwa. Wystarczy, że dysponują wiarygodnymi danymi osobowymi, aby uczynić wiadomość bardziej przekonującą. Na przykład fałszywa wiadomość może wyglądać jak powiadomienie klubu, wezwanie do potwierdzenia członkostwa, rzekoma weryfikacja konta użytkownika, zwrot pieniędzy, opłata składki członkowskiej lub aktualizacja danych karty. Jeśli taka wiadomość zostanie wysłana do osoby, której podstawowe dane są znane, prawdopodobieństwo, że odbiorca zareaguje bez dodatkowej weryfikacji, może być większe.
Chorwacka Agencja Ochrony Danych Osobowych w swoich poradach dotyczących ataków phishingowych ostrzega, aby w przypadku podejrzanych wiadomości nie otwierać linków i nie wpisywać danych osobowych ani danych kart, jeśli żądana jest czynność wyglądająca nietypowo. Dyrekcja Policji w materiałach prewencyjnych o oszustwach internetowych podaje, że oszuści za pomocą fałszywych wiadomości e-mail, SMS-ów lub połączeń telefonicznych próbują skłonić obywateli do udostępnienia danych osobowych, finansowych lub bezpieczeństwa. W kontekście komunikatu Dinama oznacza to, że szczególną uwagę należy zwrócić na nadawcę, adres linku, błędy gramatyczne, nietypowe żądania pilnej płatności i każde żądanie wpisania hasła lub karty na stronie, do której przechodzi się z wiadomości. Jeśli wiadomość budzi wątpliwości, bezpieczniej jest ręcznie otworzyć oficjalną stronę klubu lub skontaktować się z oficjalnym kontaktem, zamiast klikać link z e-maila.
Szersze ramy prawne: kiedy powiadamia się AZOP i osoby, których dane dotyczą
Incydenty bezpieczeństwa obejmujące dane osobowe w Unii Europejskiej ocenia się w ramach Ogólnego rozporządzenia o ochronie danych, znanego jako RODO. AZOP podaje, że administrator w przypadku naruszenia ochrony danych osobowych musi bez zbędnej zwłoki, a jeśli to wykonalne najpóźniej w terminie 72 godzin od stwierdzenia naruszenia, poinformować Agencję Ochrony Danych Osobowych, jeśli istnieje prawdopodobieństwo, że naruszenie spowoduje ryzyko dla praw i wolności osób fizycznych. AZOP podaje również, że jeśli istnieje prawdopodobieństwo, iż naruszenie może spowodować wysokie ryzyko dla osób, których dane dotyczą, administrator musi bez zbędnej zwłoki powiadomić także osoby, których dane dotyczą, jasnym i prostym językiem. Obowiązki w konkretnym przypadku zależą od oceny ryzyka, charakteru objętych danych, liczby osób, możliwych konsekwencji i środków ochronnych, które zostały zastosowane.
AZOP w swoich instrukcjach podkreśla, że nie każdy incydent bezpieczeństwa jest jednocześnie naruszeniem ochrony danych osobowych, ale każdy incydent obejmujący dane osobowe należy ocenić bez zwłoki. Naruszenie ochrony danych osobowych, według AZOP, może dotyczyć poufności, dostępności lub integralności danych, na przykład w przypadku nieuprawnionego dostępu, utraty urządzenia, wysłania danych do niewłaściwego odbiorcy lub ataku ransomware. W przypadku Dinama klub publicznie mówi o możliwym incydencie bezpieczeństwa, ograniczonych kategoriach danych osobowych i indywidualnym powiadamianiu członków, których incydent dotyczy. Z dostępnego publicznego komunikatu nie wynika ostateczna kwalifikacja prawna incydentu ani szczegóły ewentualnych powiadomień regulatora, dlatego można stwierdzić jedynie to, co klub bezpośrednio podał: wszczęto dochodzenie, zaangażowano ekspertów, a opinia publiczna i dotknięci członkowie powinni być informowani o istotnych faktach.
Rola podmiotu przetwarzającego i znaczenie przejrzystości
Komunikat Dinama wspomina informacje uzyskane od podmiotu przetwarzającego. AZOP w swoich wyjaśnieniach podaje, że administratorem jest osoba lub organizacja, która określa cele i sposoby przetwarzania danych osobowych, natomiast podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora. W praktyce oznacza to, że organizacje często korzystają z zewnętrznych systemów do sprzedaży, członkostwa, komunikacji, płatności, wsparcia lub zarządzania kontami użytkowników. Taki model nie jest nietypowy, ale wymaga umownego uregulowania obowiązków oraz odpowiednich technicznych i organizacyjnych środków ochrony. Właśnie dlatego w incydentach tego rodzaju ważne jest precyzyjne ustalenie, gdzie powstał incydent, kto miał dostęp do danych, które dane były dostępne i jakie środki należy podjąć, aby podobne zdarzenie się nie powtórzyło.
Według oficjalnej polityki prywatności opublikowanej na stronach Dinama klub jest wskazany jako administrator, z adresem Maksimirska 128 w Zagrzebiu i OIB 93376857458. W tym samym dokumencie Dinamo podaje, że dane osobowe zbiera za pośrednictwem stron internetowych, formularzy, aplikacji i sprzedaży produktów, a do danych, które mogą być zbierane w różnych scenariuszach, należą imię, nazwisko, data urodzenia, e-mail, adres domowy lub dostawy oraz numer telefonu. Dane te są typowe w systemach członkowskich i sprzedaży internetowej, ale jednocześnie pokazują, dlaczego ochrona takich systemów musi być procesem ciągłym, a nie jednorazowym środkiem technicznym. Dla opinii publicznej w takich przypadkach kluczowe jest, aby komunikaty były wystarczająco jasne, by osoby dotknięte mogły zrozumieć własne ryzyko i zdecydować, jakie kroki powinny podjąć.
Co członkowie mogą zrobić od razu
Chociaż Dinamo podaje, że hasła i dane kart nie zostały skompromitowane, członkowie, którzy otrzymali powiadomienie lub obawiają się, że mogli zostać objęci incydentem, mogą podjąć kilka proporcjonalnych środków ostrożności. Pierwszym jest sprawdzenie wszystkich wiadomości rzekomo pochodzących od klubu, zwłaszcza jeśli żądają pilnego działania, wpisania hasła, wpisania danych karty lub potwierdzenia danych osobowych za pośrednictwem linku. Drugim jest zmiana hasła na koncie użytkownika, jeśli takie samo lub podobne hasło istnieje także w innych usługach, ponieważ ponowne używanie haseł uważa się za jedno z najczęstszych ryzyk bezpieczeństwa. Trzecim jest monitorowanie prób nietypowego kontaktu e-mailem, SMS-em lub telefonicznie, zwłaszcza jeśli dzwoniący powołuje się na członkostwo, zakup biletów lub rzekomą procedurę bezpieczeństwa. Czwartym jest unikanie przesyłania dokumentów osobistych lub OIB przez niesprawdzone kanały.
- Sprawdź adres nadawcy i nie polegaj wyłącznie na wyświetlanej nazwie nadawcy.
- Nie otwieraj linków z wiadomości, które proszą o wpisanie hasła, karty lub dodatkowych danych osobowych.
- Jeśli musisz sprawdzić konto lub członkostwo, otwórz oficjalną stronę, ręcznie wpisując adres w przeglądarce.
- Zmień hasło, jeśli używałeś tego samego hasła w kilku usługach, i unikaj prostych kombinacji.
- Podejrzane wiadomości porównaj z oficjalnymi komunikatami klubu lub wyślij zapytanie do inspektora ochrony danych.
Środki te nie oznaczają, że każdy członek jest narażony na bezpośrednie zagrożenie, lecz stanowią rozsądną ostrożność po incydencie, w którym według klubu mogły zostać objęte określone kategorie danych osobowych. Szczególnie ważne jest odróżnienie oficjalnego powiadomienia od wiadomości próbujących wykorzystać uwagę opinii publicznej. Po komunikatach o incydentach bezpieczeństwa często pojawiają się fałszywe wiadomości, które opierają się na prawdziwym zdarzeniu, aby wyglądać wiarygodnie. Jeśli w wiadomości żąda się pilnej wpłaty, wpisania karty, wysłania kopii dokumentu lub potwierdzenia hasła, takie żądanie należy uznać za podejrzane, dopóki nie zostanie sprawdzone oficjalnym kanałem. Dinamo w swoim komunikacie właśnie na taką ostrożność położyło szczególny nacisk.
Czego jeszcze nie wiadomo
W tym momencie publicznie nie ogłoszono ostatecznej liczby osób, których incydent dotyczy. Dinamo podało, że kategorie danych osobowych nie są objęte w odniesieniu do wszystkich członków i że powiadamianie osób dotkniętych będzie prowadzone także drogą e-mailową. Nie opublikowano też szczegółowego technicznego opisu incydentu, co jest częstą praktyką w trakcie trwania dochodzenia, ponieważ przedwczesne ujawnienie szczegółów technicznych może utrudnić weryfikację, usuwanie skutków lub współpracę z właściwymi organami. Nie potwierdzono również oficjalnie, w jakim stopniu doniesienia medialne o liczbie rekordów i domniemanych sprawcach są prawdziwe. Na razie potwierdzono to, co podał klub: według obecnie dostępnych informacji incydent nie dotknął bezpośrednio stron internetowych GNK Dinamo, nie skompromitował kart ani haseł, ale objął ograniczone kategorie danych osobowych części członków.
Dla członków i opinii publicznej najważniejsze będą kolejne kroki klubu. Obejmuje to indywidualne powiadomienia osób dotkniętych, dodatkowe wyjaśnienia dotyczące kategorii danych, dalsze wzmacnianie środków bezpieczeństwa i ewentualne nowe informacje, jeśli potwierdzi je dochodzenie. W przypadkach obejmujących dane osobowe terminowa i jasna komunikacja nie jest tylko kwestią reputacyjną, ale także ważnym elementem zmniejszania ryzyka dla osób, których dane mogły zostać objęte incydentem. Im bardziej konkretne są komunikaty, tym łatwiej osobom ocenić, czy powinny zmienić hasła, monitorować możliwe oszustwa, skontaktować się z inspektorem ochrony danych lub poprosić o dodatkowe informacje. Dinamo w aktualnym komunikacie przekazuje, że jego priorytetem jest ochrona danych członków, przejrzyste informowanie opinii publicznej i podejmowanie działań zgodnie z przepisami o ochronie danych osobowych.
Źródła:
- GNK Dinamo / X – oficjalny zaktualizowany komunikat klubu o incydencie bezpieczeństwa i zaleceniach dla członków (link)
- Index Sport – przekaz zaktualizowanego oświadczenia Dinama i kontekst wcześniejszych doniesień o incydencie (link)
- Index Sport – wcześniejsze oświadczenie Dinama z 2 czerwca 2026 r. o możliwym incydencie bezpieczeństwa (link)
- Sportske novosti / Jutarnji list – dodatkowa medialna weryfikacja komunikatu Dinama i podsumowanie ustalonych informacji (link)
- GNK Dinamo – zasady prywatności, dane o administratorze i kategoriach danych przetwarzanych przez klub (link)
- Chorwacka Agencja Ochrony Danych Osobowych – instrukcje dotyczące zgłaszania naruszeń ochrony danych osobowych i obowiązków wynikających z RODO (link)
- Chorwacka Agencja Ochrony Danych Osobowych – porady dotyczące rozpoznawania ataków phishingowych i ochrony danych osobowych (link)
- Dyrekcja Policji – informacje prewencyjne o oszustwach internetowych, phishingu, smishingu i kradzieży tożsamości (link)