Dinamo: sigurnosni incident nije izravno zahvatio klupske stranice, kartice i lozinke nisu kompromitirane
GNK Dinamo objavio je 03. lipnja 2026. ažuriranu obavijest o sigurnosnom incidentu nakon što su se dan ranije pojavili navodi o mogućem curenju podataka povezanih s članovima kluba. Prema klupskoj objavi, trenutačno dostupne informacije upućuju na to da se incident nije dogodio izravno na web-stranicama GNK Dinamo. Klub navodi da podaci o bankovnim karticama i lozinkama nisu zahvaćeni, ali potvrđuje da je incident obuhvatio ograničene kategorije osobnih podataka dijela članova. Dinamo je poručio da pogođene osobe neće biti obaviještene samo javnom objavom, nego i pojedinačno, elektroničkom poštom, ako se incident odnosi na njihove podatke. U istom priopćenju klub poziva na oprez zbog mogućih lažnih poruka, osobito u razdoblju nakon javnih informacija o sigurnosnom događaju.
Klub angažirao vanjske stručnjake
Prema ažuriranoj obavijesti GNK Dinama, nakon zaprimanja informacije o mogućem sigurnosnom incidentu pokrenuta je interna istraga, a u postupak su uključeni vanjski, neovisni sigurnosni i drugi stručnjaci. Klub navodi da je cilj istrage utvrditi okolnosti incidenta, njegov opseg i moguće posljedice za članove čiji se podaci nalaze u sustavima koje Dinamo koristi. Dinamo se u objavi pozvao i na informacije dobivene od izvršitelja obrade, uz tvrdnju da prema tim informacijama ne postoji opasnost od drugih istovrsnih incidenata. Takva formulacija upućuje na to da se provjerava i uloga vanjskih sustava ili partnera koji u ime kluba obrađuju određene podatke, no iz javno dostupne obavijesti ne proizlazi detaljan tehnički opis napada. Klub je dodatno poručio da se poduzimaju radnje za jačanje sigurnosti svih podataka, bez navođenja konkretnih tehničkih mjera.
Iz Dinama ističu da incident, prema dosadašnjim informacijama, nije obuhvatio sve članove niti iste kategorije podataka kod svake osobe. Klub je naveo da se među potencijalno zahvaćenim kategorijama mogu nalaziti ime, prezime, OIB, kontaktni podaci te drugi podaci ako ih je pojedini član sam ostavio u sustavu. Takva razlika važna je zato što rizik za pojedinca ne ovisi samo o tome je li neki sustav bio zahvaćen, nego i o tome koja je vrsta podatka bila dostupna, koliko je podataka povezano s istom osobom i može li se ta kombinacija iskoristiti za prijevaru ili krađu identiteta. Dinamo zato najavljuje pojedinačno obavještavanje onih na koje se incident odnosi. Za pitanja i bojazni povezane s podacima klub je u obavijesti naveo kontakt svojeg službenika za zaštitu podataka, adresu dpo@gnkdinamo.hr.
Što nije zahvaćeno prema objavi kluba
Najvažnija poruka iz Dinamove ažurirane obavijesti odnosi se na financijske i pristupne podatke. Klub izričito navodi da nisu zahvaćeni podaci o karticama niti podaci o lozinkama. Ta informacija bitno smanjuje dio neposrednog rizika koji bi postojao u slučaju kompromitacije kartičnih brojeva, sigurnosnih kodova ili vjerodajnica za pristup korisničkim računima. Ipak, to ne znači da osobni podaci koji su eventualno obuhvaćeni incidentom ne mogu biti zloupotrijebljeni. Ime i prezime, OIB, e-mail adresa, telefonski broj ili adresa stanovanja mogu poslužiti za uvjerljivije lažne poruke, pokušaje socijalnog inženjeringa, lažno predstavljanje ili kombiniranje s podacima iz drugih izvora.
Prema ranijim medijskim izvještajima, vijest o mogućem hakerskom napadu proširila se 02. lipnja 2026., kada su objavljeni navodi da su kompromitirani podaci članova Dinama. Index je u kontekstu tih navoda pisao da se u objavama povezanim s napadom spominjalo približno 50 tisuća zapisa, odnosno 52.009 jedinstvenih zapisa, te da se kao potpisnici navodnog napada spominje skupina koja se predstavlja kao srpska hakerska skupina. Ti navodi nisu u cijelosti potvrđeni Dinamovom obavijesti. Klub je u ažuriranom priopćenju potvrdio ograničeni obuhvat incidenta i određene kategorije osobnih podataka, ali nije objavio konačan broj pogođenih članova niti tehničke pojedinosti o izvoru incidenta. Zbog toga je u ovom trenutku najpreciznije govoriti o sigurnosnom incidentu ograničenog obuhvata, uz napomenu da se detalji i dalje temelje na dostupnim, a ne konačnim informacijama.
Zašto su članovi posebno upozoreni na lažne poruke
Dinamo je u objavi članovima savjetovao oprez zbog sumnjivih i lažnih e-mailova, redovitu promjenu lozinki te korištenje dovoljno složenih lozinki. Takvo upozorenje uobičajeno je nakon incidenata u kojima su možda zahvaćeni kontaktni podaci, jer napadači ne moraju imati lozinku ili kartične podatke da bi pokušali prijevaru. Dovoljno im je da raspolažu vjerodostojnim osobnim podacima kako bi poruku učinili uvjerljivijom. Primjerice, lažna poruka može izgledati kao obavijest kluba, poziv na potvrdu članstva, navodna provjera korisničkog računa, povrat novca, plaćanje članarine ili ažuriranje kartičnih podataka. Ako se takva poruka pošalje osobi čiji su osnovni podaci poznati, vjerojatnost da će primatelj reagirati bez dodatne provjere može biti veća.
Agencija za zaštitu osobnih podataka u svojim savjetima o phishing napadima upozorava da se kod sumnjivih poruka ne otvaraju poveznice i ne upisuju osobni ili kartični podaci ako se traži radnja koja izgleda neuobičajeno. Ravnateljstvo policije u preventivnim materijalima o internetskim prijevarama navodi da prevaranti lažnim porukama e-pošte, SMS-ovima ili telefonskim pozivima pokušavaju navesti građane na dijeljenje osobnih, financijskih ili sigurnosnih podataka. U kontekstu Dinamove obavijesti to znači da posebnu pozornost treba obratiti na pošiljatelja, adresu poveznice, gramatičke pogreške, neuobičajene zahtjeve za hitnim plaćanjem i svaki zahtjev za unosom lozinke ili kartice na stranici do koje se dolazi iz poruke. Ako poruka izaziva sumnju, sigurnije je ručno otvoriti službenu stranicu kluba ili se obratiti službenom kontaktu, umjesto klikanja na poveznicu iz e-maila.
Širi pravni okvir: kada se obavještavaju AZOP i ispitanici
Sigurnosni incidenti koji uključuju osobne podatke u Europskoj uniji procjenjuju se u okviru Opće uredbe o zaštiti podataka, poznate kao GDPR. AZOP navodi da voditelj obrade u slučaju povrede osobnih podataka mora bez nepotrebnog odgađanja, a ako je izvedivo najkasnije u roku od 72 sata od saznanja za povredu, izvijestiti Agenciju za zaštitu osobnih podataka ako je vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca. AZOP također navodi da, ako je vjerojatno da povreda može prouzročiti visok rizik za ispitanike, voditelj obrade mora bez nepotrebnog odgađanja obavijestiti i osobe na koje se podaci odnose, jasnim i jednostavnim jezikom. Obveze u konkretnom slučaju ovise o procjeni rizika, prirodi zahvaćenih podataka, broju osoba, mogućim posljedicama i zaštitnim mjerama koje su bile primijenjene.
AZOP u svojim uputama naglašava da nije svaki sigurnosni incident istodobno i povreda osobnih podataka, ali svaki incident koji uključuje osobne podatke treba procijeniti bez odgode. Povreda osobnih podataka, prema AZOP-u, može se odnositi na povjerljivost, dostupnost ili cjelovitost podataka, primjerice kod neovlaštenog pristupa, gubitka uređaja, slanja podataka pogrešnom primatelju ili ransomware napada. U Dinamovu slučaju klub javno govori o mogućem sigurnosnom incidentu, ograničenim kategorijama osobnih podataka i pojedinačnom obavještavanju članova na koje se incident odnosi. Iz dostupne javne obavijesti ne proizlazi konačna pravna kvalifikacija incidenta ni detalji o eventualnim obavijestima regulatoru, pa se može zaključiti samo ono što je klub izravno naveo: istraga je pokrenuta, angažirani su stručnjaci, a javnost i pogođeni članovi trebaju biti informirani o relevantnim činjenicama.
Uloga izvršitelja obrade i važnost transparentnosti
Dinamova obavijest spominje informacije dobivene od izvršitelja obrade. AZOP u svojim pojašnjenjima navodi da je voditelj obrade osoba ili organizacija koja određuje svrhe i sredstva obrade osobnih podataka, dok je izvršitelj obrade subjekt koji obrađuje osobne podatke u ime voditelja obrade. U praksi to znači da organizacije često koriste vanjske sustave za prodaju, članstvo, komunikaciju, naplatu, podršku ili upravljanje korisničkim računima. Takav model nije neuobičajen, ali zahtijeva ugovorno uređenje obveza i odgovarajuće tehničke i organizacijske mjere zaštite. Upravo zato je u incidentima ove vrste važno precizno utvrditi gdje je incident nastao, tko je imao pristup podacima, koji su podaci bili dostupni i koje mjere treba poduzeti da se sličan događaj ne ponovi.
Prema službenoj politici privatnosti objavljenoj na Dinamovim stranicama, klub se navodi kao voditelj obrade, s adresom Maksimirska 128 u Zagrebu i OIB-om 93376857458. U istom dokumentu Dinamo navodi da osobne podatke prikuplja putem web-stranica, obrazaca, aplikacija i prodaje proizvoda, kao i da među podatke koji se mogu prikupljati u različitim scenarijima spadaju ime, prezime, datum rođenja, e-mail, kućna ili dostavna adresa i telefonski broj. Ti podaci uobičajeni su u sustavima članstva i internetske prodaje, no istodobno pokazuju zašto zaštita takvih sustava mora biti stalni proces, a ne jednokratna tehnička mjera. Za javnost je u ovakvim slučajevima ključno da obavijesti budu dovoljno jasne da pogođene osobe mogu razumjeti vlastiti rizik i odlučiti koje korake trebaju poduzeti.
Što članovi mogu učiniti odmah
Iako Dinamo navodi da lozinke i kartični podaci nisu kompromitirani, članovi koji su primili obavijest ili se boje da bi mogli biti zahvaćeni incidentom mogu poduzeti nekoliko razmjernih mjera opreza. Prva je provjera svih poruka koje navodno dolaze od kluba, osobito ako traže hitnu radnju, unos lozinke, unos kartičnih podataka ili potvrdu osobnih podataka putem poveznice. Druga je promjena lozinke na korisničkom računu ako ista ili slična lozinka postoji i na drugim servisima, jer se ponovna uporaba lozinki smatra jednim od najčešćih sigurnosnih rizika. Treća je praćenje pokušaja neobičnog kontakta e-mailom, SMS-om ili telefonom, osobito ako se pozivatelj poziva na članstvo, kupnju ulaznica ili navodni sigurnosni postupak. Četvrta je izbjegavanje slanja osobnih dokumenata ili OIB-a putem neprovjerenih kanala.
- Provjerite adresu pošiljatelja i ne oslanjajte se samo na prikazano ime pošiljatelja.
- Ne otvarajte poveznice iz poruka koje traže unos lozinke, kartice ili dodatnih osobnih podataka.
- Ako morate provjeriti račun ili članstvo, službenu stranicu otvorite ručnim upisivanjem adrese u preglednik.
- Promijenite lozinku ako ste istu lozinku koristili na više servisa, i izbjegavajte jednostavne kombinacije.
- Sumnjive poruke usporedite sa službenim objavama kluba ili pošaljite upit službeniku za zaštitu podataka.
Ove mjere ne znače da je svaki član izložen izravnoj prijetnji, nego predstavljaju razuman oprez nakon incidenta u kojem su, prema klubu, mogle biti zahvaćene određene kategorije osobnih podataka. Posebno je važno razlikovati službenu obavijest od poruka koje pokušavaju iskoristiti pozornost javnosti. Nakon objava o sigurnosnim incidentima često se pojavljuju lažne poruke koje se oslanjaju na stvarni događaj kako bi djelovale uvjerljivo. Ako se u poruci traži hitna uplata, unos kartice, slanje preslike dokumenta ili potvrda lozinke, takav zahtjev treba smatrati sumnjivim dok se ne provjeri službenim kanalom. Dinamo je u svojoj obavijesti upravo na takav oprez stavio poseban naglasak.
Što se još ne zna
U ovom trenutku javno nije objavljen konačan broj osoba na koje se incident odnosi. Dinamo je naveo da kategorije osobnih podataka nisu obuhvaćene u odnosu na sve članove i da će se obavještavanje onih koji su zahvaćeni provoditi i putem e-maila. Nije objavljen ni detaljan tehnički opis incidenta, što je česta praksa dok istraga traje, jer preuranjeno iznošenje tehničkih detalja može otežati provjeru, sanaciju ili suradnju s nadležnim tijelima. Također nije službeno potvrđeno u kojoj su mjeri medijski navodi o broju zapisa i navodnim počiniteljima točni. Zasad je potvrđeno ono što je klub naveo: incident nije, prema trenutačno dostupnim informacijama, izravno zahvatio web-stranice GNK Dinama, nije kompromitirao kartice ni lozinke, ali jest obuhvatio ograničene kategorije osobnih podataka dijela članova.
Za članove i javnost najvažniji će biti sljedeći koraci kluba. To uključuje pojedinačne obavijesti pogođenim osobama, dodatna pojašnjenja o kategorijama podataka, nastavak jačanja sigurnosnih mjera i eventualne nove informacije ako ih istraga potvrdi. U slučajevima koji uključuju osobne podatke pravodobna i jasna komunikacija nije samo reputacijsko pitanje, nego i važan dio smanjenja rizika za osobe čiji su podaci mogli biti zahvaćeni. Što su obavijesti konkretnije, to pojedinci lakše mogu procijeniti trebaju li promijeniti lozinke, pratiti moguće prijevare, kontaktirati službenika za zaštitu podataka ili zatražiti dodatne informacije. Dinamo u aktualnoj obavijesti poručuje da mu je prioritet zaštita podataka članova, transparentno informiranje javnosti i poduzimanje mjera u skladu s propisima o zaštiti osobnih podataka.
Izvori:
- GNK Dinamo / X – službena ažurirana obavijest kluba o sigurnosnom incidentu i preporukama članovima (link)
- Index Sport – prijenos Dinamova ažuriranog priopćenja i kontekst ranijih navoda o incidentu (link)
- Index Sport – ranije priopćenje Dinama od 02. lipnja 2026. o mogućem sigurnosnom incidentu (link)
- Sportske novosti / Jutarnji list – dodatna medijska provjera Dinamove objave i sažetak utvrđenih informacija (link)
- GNK Dinamo – pravila privatnosti, podaci o voditelju obrade i kategorijama podataka koje klub obrađuje (link)
- Agencija za zaštitu osobnih podataka – upute o izvješćivanju o povredi osobnih podataka i obvezama prema GDPR-u (link)
- Agencija za zaštitu osobnih podataka – savjeti za prepoznavanje phishing napada i zaštitu osobnih podataka (link)
- Ravnateljstvo policije – preventivne informacije o internetskim prijevarama, phishingu, smishingu i krađi identiteta (link)