Dinamo po incydencie bezpieczeństwa ostrzegło członków przed fałszywymi wiadomościami: karty i hasła, według klubu, nie zostały skompromitowane
GNK Dinamo opublikowało 3 czerwca 2026 r. zaktualizowane zawiadomienie o incydencie bezpieczeństwa związanym z danymi części członków i poinformowało, że według obecnie dostępnych informacji incydent nie dotknął bezpośrednio oficjalnych stron internetowych klubu. Klub podaje, że dane kart ani hasła nie zostały skompromitowane, ale potwierdza, że incydent objął ograniczone kategorie danych osobowych części członków. Wśród wymienianych danych są imię, nazwisko, OIB, dane kontaktowe i inne dane, jeśli dany członek sam pozostawił je w systemie. Z Maksimiru przekazują, że po otrzymaniu zawiadomienia o możliwym incydencie rozpoczęli wewnętrzne dochodzenie, zaangażowali zewnętrznych niezależnych ekspertów ds. bezpieczeństwa oraz innych specjalistów, a także zaczęli dodatkowo wzmacniać ochronę danych.
Zaktualizowane zawiadomienie pojawiło się dzień po tym, jak klub po raz pierwszy poinformował członków, że otrzymał informację o możliwym incydencie bezpieczeństwa. W tym pierwszym komunikacie Dinamo podało, że ustalany jest dokładny zakres zdarzenia, kategorie danych, które potencjalnie zostały objęte incydentem, oraz liczba członków, których incydent może dotyczyć. W nowym zawiadomieniu klub przedstawia więcej szczegółów, ale nadal używa sformułowań wskazujących, że dochodzenie i ocena skutków nie zostały w pełni zakończone. Według komunikatu GNK Dinamo, członkowie, których sprawa dotyczy, będą informowani także e-mailem, a w przypadku pytań dotyczących danych lub możliwych obaw klub odsyła do inspektora ochrony danych.
Co klub dotąd oficjalnie potwierdził
Według zaktualizowanego zawiadomienia GNK Dinamo, po otrzymaniu informacji o możliwym incydencie klub wszczął wewnętrzne dochodzenie i zaangażował zewnętrznych ekspertów, aby ustalić okoliczności zdarzenia. Dinamo podaje, że według obecnie dostępnych informacji incydent nie wydarzył się bezpośrednio na jego stronach internetowych. Klub podkreśla również, że zakres incydentu jest ograniczony oraz że według informacji, którymi dysponuje od podmiotu przetwarzającego, nie istnieje niebezpieczeństwo innych incydentów tego samego rodzaju. Takie sformułowanie oznacza, że klub część informacji opiera także na danych otrzymanych od strony trzeciej zaangażowanej w przetwarzanie danych, a nie tylko na własnej wewnętrznej kontroli.
Najważniejszy komunikat dla członków dotyczy rodzajów danych, które według klubu nie zostały objęte incydentem. Dinamo wyraźnie ogłosiło, że dane kart ani dane dotyczące haseł nie zostały skompromitowane. Jest to ważne, ponieważ właśnie dane płatnicze i hasła dostępu w podobnych incydentach mogą stworzyć przestrzeń do bezpośredniej szkody finansowej lub nieuprawnionego wejścia na konta użytkowników. Klub nie twierdzi jednak, że incydent nie dotknął żadnych danych osobowych. Przeciwnie, w zawiadomieniu wskazuje, że objęte zostały ograniczone kategorie danych osobowych, różniące się w zależności od członka.
W oficjalnym komunikacie wymieniane są imię, nazwisko, OIB, kontakt i inne dane, które członek ewentualnie sam pozostawił w systemie. Dinamo podkreśla przy tym, że wymienione kategorie nie objęły wszystkich członków. Oznacza to, że zakres nie jest opisany jako jednolity zestaw danych dla całej bazy, lecz jako incydent, który może mieć różne konsekwencje dla różnych osób. Właśnie dlatego ważne jest, aby zawiadomienia, które członkowie mogą otrzymać e-mailem, czytać uważnie, ale także sprawdzać, czy rzeczywiście zostały wysłane z wiarygodnego adresu klubowego.
Dlaczego dane osobowe takie jak OIB i kontakt wymagają ostrożności
Chociaż Dinamo podaje, że hasła i dane kart nie zostały skompromitowane, dane takie jak imię, nazwisko, OIB, adres e-mail, numer telefonu lub inne informacje kontaktowe mogą być wrażliwe. OIB jest unikalnym numerem identyfikacyjnym i w połączeniu z innymi danymi może zostać nadużyty w próbach oszustwa, podszywania się lub ukierunkowanych wiadomościach, które wyglądają bardziej przekonująco niż zwykły spam. Same dane kontaktowe nie oznaczają, że doszło do szkody finansowej, ale mogą ułatwić atakującym przekonanie osób, że komunikują się ze znaną organizacją. Dlatego ostrzeżenie przed fałszywymi wiadomościami dotyczy nie tylko higieny informatycznej, ale także realnego ryzyka późniejszych prób wykorzystania dostępnych danych.
Klub w zawiadomieniu bezpośrednio ostrzega członków, aby uważali na podejrzane i fałszywe e-maile, chronili swoje hasła, regularnie je zmieniali i dbali o ich złożoność. Taka rekomendacja jest szczególnie ważna, jeśli użytkownicy używają tego samego hasła w wielu różnych usługach internetowych. Chociaż Dinamo podaje, że hasła nie zostały objęte tym incydentem, zmiana hasła może być rozsądnym środkiem ostrożności, jeśli chodzi o stare, słabe lub wielokrotnie używane hasło. Jeszcze ważniejsze jest, aby nie wpisywać hasła, danych karty ani innych danych osobowych na stronach, do których trafia się przez linki z podejrzanych wiadomości.
Według wyjaśnień Narodowego CERT-u phishing opiera się na manipulacji użytkownikami w celu zbierania poufnych danych, w tym nazw użytkowników, haseł i danych kart kredytowych. Policja również opisuje phishing jako internetową kradzież tożsamości, w której za pomocą fałszywych e-maili próbuje się nakłonić użytkowników do udostępnienia danych osobowych, finansowych lub związanych z bezpieczeństwem. W praktyce oznacza to, że po takim incydencie mogą pojawić się wiadomości fałszywie podające się za komunikaty klubu, żądania potwierdzenia danych, wezwania do zmiany hasła lub informacje o rzekomych problemach z członkostwem. Kluczowe sygnały ostrzegawcze to nietypowy adres nadawcy, presja na pilną reakcję, błędy gramatyczne, nieoczekiwane załączniki i linki, które nie prowadzą do oficjalnej domeny.
Obowiązki wynikające z zasad ochrony danych osobowych
Incydent należy rozpatrywać również w ramach Ogólnego rozporządzenia o ochronie danych, znanego jako RODO, ponieważ chodzi o możliwe naruszenie danych osobowych osób fizycznych. Według informacji Agencji Ochrony Danych Osobowych administrator jest zobowiązany bez zbędnej zwłoki i, jeśli to wykonalne, najpóźniej w ciągu 72 godzin od uzyskania wiedzy o naruszeniu powiadomić organ nadzorczy, chyba że jest mało prawdopodobne, aby naruszenie spowodowało ryzyko dla praw i wolności osób. RODO dodatkowo przewiduje, że osoby są zawiadamiane bez zbędnej zwłoki, jeśli jest prawdopodobne, że naruszenie danych osobowych spowoduje wysokie ryzyko dla ich praw i wolności. Ocena takiego ryzyka zależy od rodzaju danych, zakresu incydentu, możliwości nadużycia i środków podjętych po jego wykryciu.
Dinamo w oficjalnych zawiadomieniach podaje, że priorytetami klubu są ochrona członków, przejrzyste informowanie opinii publicznej i podejmowanie niezbędnych działań zgodnie z przepisami o ochronie danych osobowych. Klub nie podał w komunikacie wszystkich technicznych szczegółów incydentu, co jest zwyczajne na wczesnym etapie kontroli bezpieczeństwa, ponieważ publiczne ujawnienie zbyt wielu szczegółów może utrudnić dochodzenie lub stworzyć przestrzeń do dodatkowych nadużyć. Jednocześnie dla osób, których dane mogły zostać objęte incydentem, ważne jest uzyskanie wystarczająco jasnych informacji o tym, które dane zostały dotknięte, jakie jest ryzyko i jakie kroki powinny podjąć. Właśnie dlatego zapowiedziane indywidualne powiadamianie dotkniętych członków e-mailem jest istotną częścią dalszego postępowania.
W takich przypadkach decydujące jest nie tylko pytanie, czy system został technicznie zaatakowany, ale także pytanie, czy doszło do nieuprawnionego dostępu, ujawnienia lub utraty kontroli nad danymi osobowymi. Dinamo twierdzi, że incydent nie wydarzył się bezpośrednio na klubowych stronach internetowych, ale jednocześnie potwierdza, że określone kategorie danych części członków zostały objęte incydentem. Wskazuje to na możliwość, że incydent jest związany z przetwarzaniem lub przechowywaniem danych w szerszym środowisku cyfrowym, w tym u zewnętrznych dostawców usług, choć klub nie opublikował szczegółów, które pozwoliłyby na stanowczy wniosek co do technicznej przyczyny. Dopóki dochodzenie nie zostanie zakończone, najprecyzyjniej jest mówić o incydencie bezpieczeństwa o ograniczonym zakresie, tak jak opisuje go sam klub.
Należy odróżniać twierdzenia medialne od oficjalnie potwierdzonych informacji
Przed zaktualizowanym zawiadomieniem Dinama w przestrzeni publicznej pojawiły się doniesienia medialne o twierdzeniach, że część danych miała rzekomo zostać zaoferowana lub wspomniana w środowisku powiązanym z dark webem. Tportal na przykład poinformował o doniesieniach, że w publikacji wspominano o skompromitowanej bazie danych i grupie hakerskiej przedstawiającej się jako INF Grupa. Takie informacje należy traktować ostrożnie, ponieważ opierają się na rzekomych twierdzeniach osób trzecich i nie są tym samym, co oficjalne potwierdzenie klubu lub właściwego organu. W oficjalnym zawiadomieniu Dinamo nie wskazało domniemanych sprawców, nie potwierdziło liczby dotkniętych rekordów i nie ogłosiło, że dane kart lub hasła zostały skompromitowane.
Odróżnianie oficjalnie potwierdzonych informacji od twierdzeń krążących w internecie jest ważne dla uniknięcia paniki, ale także dla ochrony członków przed dodatkowymi oszustwami. W incydentach cybernetycznych atakujący lub osoby podające się za atakujących często wykorzystują uwagę opinii publicznej, aby zwiększyć presję na organizację lub skłonić użytkowników do pochopnych reakcji. Dlatego najbardziej wiarygodnym podejściem jest opieranie się na oficjalnych komunikatach klubu, zawiadomieniach właściwych organów i sprawdzonych zaleceniach bezpieczeństwa. Jeśli członek otrzyma wiadomość, która powołuje się na incydent i żąda wpisania hasła, danych karty lub OIB poprzez link, takie żądanie należy uznać za podejrzane, dopóki nie zostanie sprawdzone bezpośrednio przez oficjalne kanały.
Dinamo w pierwszym zawiadomieniu z 2 czerwca podało, że bez zwłoki poinformuje członków i opinię publiczną, gdy tylko będą dostępne potwierdzone informacje o zakresie incydentu i ewentualnie objętych kategoriach danych. Zaktualizowane zawiadomienie z 3 czerwca stanowi kontynuację tego procesu, ale nie musi być ostatnią informacją o zdarzeniu. Jeśli dochodzenie ustali nowe fakty, klub zgodnie z własnymi zapowiedziami i zasadami ochrony danych osobowych powinien nadal informować tych, których incydent dotyczy. Dla opinii publicznej kluczowe jest przy tym, aby każde nowe twierdzenie było wyraźnie oddzielone od tego, co już zostało potwierdzone.
Co członkowie mogą zrobić od razu
Członkowie, którzy korzystali z usług cyfrowych związanych z klubem, powinni najpierw śledzić oficjalne komunikaty GNK Dinamo i zwrócić uwagę na ewentualne indywidualne zawiadomienie, które może dotrzeć e-mailem. Taką wiadomość należy dokładnie sprawdzić: nadawca musi być wiarygodny, linków nie należy otwierać automatycznie, a żądania wpisania hasła, danych karty lub dodatkowych danych osobowych powinny wzbudzić szczególną ostrożność. Bezpieczniej jest ręcznie otworzyć oficjalną stronę internetową klubu albo zwrócić się do inspektora ochrony danych pod adresem podanym przez klub w jego zawiadomieniu. Jeśli wiadomość wygląda podejrzanie, nie należy na nią odpowiadać ani otwierać załączników.
Zaleca się zmianę hasła do konta użytkownika, jeśli używane jest stare lub słabe hasło, zwłaszcza jeśli to samo hasło było używane w innych usługach. Dobre hasło powinno być długie, unikalne i trudne do odgadnięcia, a tam, gdzie to możliwe, należy włączyć uwierzytelnianie wieloskładnikowe. Jeśli użytkownik otrzyma wiadomość żądającą pilnej płatności, potwierdzenia karty lub ponownego wpisania danych osobowych, powinien sprawdzić żądanie innym kanałem przed podjęciem jakichkolwiek działań. CERT i policja w swoich ogólnych zaleceniach ostrzegają, że celem wiadomości phishingowych jest nakłonienie użytkownika do przekazania danych lub kliknięcia złośliwego linku, dlatego spokojna weryfikacja jest najlepszą ochroną.
Ostrożność jest potrzebna także w kolejnych tygodniach, ponieważ próby oszustwa nie muszą pojawić się bezpośrednio po incydencie. Jeśli czyjeś dane kontaktowe zostały objęte incydentem, fałszywe wiadomości mogą pojawić się później i mogą powoływać się na członkostwo, bilety, korzyści, konkursy lub rzekomą kontrolę bezpieczeństwa. Szczególnie należy unikać udostępniania zdjęć dokumentów osobistych, danych kart lub jednorazowych kodów do potwierdzania transakcji. W przypadku podejrzenia nadużycia danych finansowych należy natychmiast skontaktować się z bankiem, a w przypadku oszustwa lub próby oszustwa można powiadomić policję i właściwe służby ds. cyberbezpieczeństwa.
Zaufanie cyfrowe staje się częścią odpowiedzialności organizacji sportowych
Incydent bezpieczeństwa w Dinamie pokazuje, jak bardzo kluby sportowe stały się organizacjami cyfrowymi. Członkostwa, bilety, sklepy internetowe, newslettery, aplikacje i komunikacja z kibicami opierają się na bazach danych i zewnętrznych systemach technologicznych. Taki model przynosi szybszą komunikację i prostsze usługi, ale zwiększa także odpowiedzialność za ochronę danych osobowych. W opinii publicznej organizacje sportowe często postrzega się przez pryzmat wyników, transferów i meczów, jednak ich infrastruktura cyfrowa jest coraz ważniejszą częścią zaufania między klubem a członkami.
Dla Dinama dalszy przebieg sprawy będzie zależał od wyników dochodzenia, ewentualnych dodatkowych zawiadomień i środków, które klub wdroży, aby zmniejszyć ryzyko powtórzenia podobnych zdarzeń. Klub już ogłosił, że podejmowane są działania na rzecz dodatkowego wzmocnienia bezpieczeństwa wszystkich danych, ale nie podał szczegółowo, jakie środki techniczne i organizacyjne zostaną wdrożone. Na tym etapie najważniejsze jest, aby członkowie nie panikowali, ale postępowali ostrożnie, zwłaszcza wobec wiadomości, które żądają szybkiej reakcji lub wpisania wrażliwych danych. Według dostępnych oficjalnych informacji z 04 czerwca 2026 r. potwierdzono, że incydent ma ograniczony zakres, że powiadamianie dotkniętych członków jest kontynuowane i że klub twierdzi, iż dane kart i hasła nie zostały skompromitowane.
Źródła:
- GNK Dinamo – zaktualizowane oficjalne zawiadomienie o incydencie bezpieczeństwa i kategoriach danych, które mogły zostać objęte incydentem (link)
- GNK Dinamo – pierwsze zawiadomienie członków o możliwym incydencie bezpieczeństwa i uruchomieniu procedury wewnętrznej (link)
- Agencja Ochrony Danych Osobowych – informacje o zgłaszaniu naruszenia danych osobowych i terminie 72 godzin (link)
- EUR-Lex – tekst Ogólnego rozporządzenia o ochronie danych, w tym zasady dotyczące naruszeń danych osobowych (link)
- Narodowy CERT – wyjaśnienie phishingu i sposobu, w jaki próbuje się zbierać poufne dane (link)
- Dyrekcja Policji – wyjaśnienia dotyczące oszustw internetowych i wiadomości phishingowych (link)
- Tportal – doniesienie medialne o twierdzeniach, które poprzedziły oficjalne komunikaty klubu (link)