Dinamo nakon sigurnosnog incidenta upozorio članove na lažne poruke: kartice i lozinke, prema klubu, nisu kompromitirane
GNK Dinamo objavio je 3. lipnja 2026. ažuriranu obavijest o sigurnosnom incidentu povezanom s podacima dijela članova te poručio da, prema trenutačno dostupnim informacijama, incident nije izravno zahvatio službene web-stranice kluba. Klub navodi da nisu kompromitirani podaci o karticama niti lozinke, ali potvrđuje da je incident obuhvatio ograničene kategorije osobnih podataka dijela članova. Među podacima koji se spominju su ime, prezime, OIB, kontakt-podaci i drugi podaci ako ih je pojedini član sam ostavio u sustavu. Iz Maksimira poručuju da su nakon zaprimljene obavijesti o mogućem incidentu pokrenuli internu istragu, angažirali vanjske neovisne sigurnosne i druge stručnjake te počeli dodatno jačati zaštitu podataka.
Ažurirana obavijest uslijedila je dan nakon što je klub prvi put izvijestio članove da je zaprimio informaciju o mogućem sigurnosnom incidentu. U toj prvoj objavi Dinamo je naveo da se utvrđuju točan opseg događaja, kategorije podataka koje su potencijalno zahvaćene i broj članova na koje se incident može odnositi. U novoj obavijesti klub iznosi više detalja, ali i dalje koristi formulacije koje upućuju na to da istraga i procjena posljedica nisu potpuno završene. Prema objavi GNK Dinama, zahvaćeni članovi bit će obavještavani i putem e-maila, a za pitanja o podacima ili moguće bojazni klub upućuje na službenika za zaštitu podataka.
Što je klub dosad službeno potvrdio
Prema ažuriranoj obavijesti GNK Dinama, klub je nakon zaprimljene informacije o mogućem incidentu pokrenuo internu istragu i angažirao vanjske stručnjake kako bi utvrdio okolnosti događaja. Dinamo navodi da se incident, prema trenutačno dostupnim informacijama, nije dogodio izravno na njegovim web-stranicama. Klub također ističe da je obuhvat incidenta ograničen te da, prema informacijama kojima raspolaže od izvršitelja obrade, ne postoji opasnost od drugih istovrsnih incidenata. Takva formulacija znači da klub dio informacija temelji i na podacima koje je dobio od treće strane uključene u obradu podataka, a ne samo na vlastitoj internoj provjeri.
Najvažnija poruka za članove odnosi se na vrste podataka za koje klub tvrdi da nisu zahvaćene. Dinamo je izričito objavio da nisu kompromitirani podaci o karticama niti podaci o lozinkama. To je važno jer upravo podaci za plaćanje i pristupne lozinke u sličnim incidentima mogu otvoriti prostor za izravnu financijsku štetu ili neovlašten ulazak u korisničke račune. Klub, međutim, ne tvrdi da incident nije zahvatio nikakve osobne podatke. Naprotiv, u obavijesti navodi da su obuhvaćene ograničene kategorije osobnih podataka, koje se razlikuju ovisno o članu.
U službenoj objavi spominju se ime, prezime, OIB, kontakt i drugi podaci koje je član eventualno sam ostavio u sustavu. Dinamo pritom naglašava da navedene kategorije nisu zahvatile sve članove. To znači da opseg nije opisan kao jedinstveni skup podataka za cijelu bazu, nego kao incident koji može imati različite posljedice za različite osobe. Upravo zato je važno da se obavijesti koje bi članovi mogli zaprimiti e-mailom čitaju pažljivo, ali i da se provjerava jesu li doista poslane s vjerodostojne klupske adrese.
Zašto osobni podaci poput OIB-a i kontakta traže oprez
Iako Dinamo navodi da lozinke i podaci o karticama nisu kompromitirani, podaci poput imena, prezimena, OIB-a, e-mail adrese, telefonskog broja ili drugih kontaktnih informacija mogu biti osjetljivi. OIB je jedinstveni identifikacijski broj i u kombinaciji s drugim podacima može se zloupotrijebiti u pokušajima prijevare, lažnog predstavljanja ili ciljanim porukama koje djeluju uvjerljivije od uobičajenog spama. Kontakt-podaci sami po sebi ne znače da je došlo do financijske štete, ali mogu olakšati napadačima da osobe uvjere kako komuniciraju s poznatom organizacijom. Zato se upozorenje na lažne poruke ne odnosi samo na informatičku higijenu, nego i na realan rizik od naknadnih pokušaja iskorištavanja dostupnih podataka.
Klub u obavijesti izravno upozorava članove da paze na sumnjive i lažne e-mailove, da čuvaju svoje lozinke, redovito ih mijenjaju i vode računa o njihovoj složenosti. Takva preporuka posebno je važna ako korisnici istu lozinku koriste na više različitih internetskih usluga. Iako Dinamo navodi da lozinke nisu zahvaćene ovim incidentom, promjena lozinke može biti razumna mjera opreza ako je riječ o staroj, slaboj ili višestruko korištenoj zaporci. Još je važnije ne upisivati lozinku, podatke o kartici ili druge osobne podatke na stranice do kojih se dolazi preko poveznica iz sumnjivih poruka.
Prema objašnjenjima Nacionalnog CERT-a, phishing se temelji na manipulaciji korisnika s ciljem prikupljanja povjerljivih podataka, uključujući korisnička imena, lozinke i podatke s kreditnih kartica. Policija također opisuje phishing kao mrežnu krađu identiteta u kojoj se lažnim e-mailovima korisnike pokušava navesti na dijeljenje osobnih, financijskih ili sigurnosnih podataka. U praksi to znači da bi se nakon ovakvog incidenta mogle pojaviti poruke koje se lažno predstavljaju kao obavijesti kluba, zahtjevi za potvrdom podataka, pozivi na promjenu lozinke ili obavijesti o navodnim problemima s članstvom. Ključni znakovi za oprez su neobična adresa pošiljatelja, pritisak na hitnu reakciju, gramatičke pogreške, neočekivani privici i poveznice koje ne vode na službenu domenu.
Obveze prema pravilima o zaštiti osobnih podataka
Incident se mora promatrati i kroz okvir Opće uredbe o zaštiti podataka, poznate kao GDPR, jer je riječ o mogućem zahvatu u osobne podatke fizičkih osoba. Prema informacijama Agencije za zaštitu osobnih podataka, voditelj obrade dužan je bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije u roku od 72 sata od saznanja za povredu izvijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca. GDPR dodatno propisuje da se pojedinci obavješćuju bez nepotrebnog odgađanja ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za njihova prava i slobode. Procjena takvog rizika ovisi o vrsti podataka, opsegu incidenta, mogućnosti zlouporabe i mjerama koje su poduzete nakon otkrivanja.
Dinamo u službenim obavijestima navodi da su prioriteti kluba zaštita članova, transparentno informiranje javnosti i poduzimanje potrebnih mjera u skladu s propisima o zaštiti osobnih podataka. Klub nije u objavi naveo sve tehničke detalje incidenta, što je uobičajeno u ranoj fazi sigurnosnih provjera jer javno iznošenje previše detalja može otežati istragu ili otvoriti prostor za dodatne zlouporabe. Istodobno, za osobe čiji su podaci mogli biti obuhvaćeni važno je dobiti dovoljno jasne informacije o tome koji su podaci zahvaćeni, kakav je rizik i koje korake trebaju poduzeti. Upravo zato je najavljeno individualno obavještavanje zahvaćenih članova putem e-maila značajan dio daljnjeg postupanja.
U takvim slučajevima nije presudno samo pitanje je li sustav bio tehnički napadnut, nego i pitanje je li došlo do neovlaštenog pristupa, otkrivanja ili gubitka kontrole nad osobnim podacima. Dinamo tvrdi da se incident nije dogodio izravno na klupskim web-stranicama, ali istodobno potvrđuje da su određene kategorije podataka dijela članova bile obuhvaćene. To upućuje na mogućnost da je incident povezan s obradom ili pohranom podataka u širem digitalnom okruženju, uključujući vanjske pružatelje usluga, iako klub nije objavio detalje koji bi omogućili čvrst zaključak o tehničkom uzroku. Dok istraga ne bude završena, najpreciznije je govoriti o sigurnosnom incidentu ograničenog obuhvata, onako kako ga opisuje sam klub.
Medijske tvrdnje i službeno potvrđene informacije treba razlikovati
Prije Dinamove ažurirane obavijesti u javnosti su se pojavila medijska izvješća o tvrdnjama da je dio podataka navodno ponuđen ili spomenut u okruženju povezanom s dark webom. Tportal je, primjerice, izvijestio o navodima da se u objavi spominjala kompromitirana baza podataka i hakerska skupina koja se predstavlja kao INF Grupa. Takve informacije treba tretirati oprezno jer se temelje na navodnim tvrdnjama trećih osoba i nisu isto što i službena potvrda kluba ili nadležnog tijela. U službenoj obavijesti Dinamo nije imenovao navodne počinitelje, nije potvrdio broj zahvaćenih zapisa i nije objavio da su podaci o karticama ili lozinkama kompromitirani.
Razlikovanje službeno potvrđenih informacija od tvrdnji koje kruže internetom važno je zbog izbjegavanja panike, ali i zbog zaštite članova od dodatnih prijevara. U kibernetičkim incidentima napadači ili osobe koje se predstavljaju kao napadači često koriste javnu pozornost kako bi povećali pritisak na organizaciju ili potaknuli korisnike na brzoplete reakcije. Zbog toga je najpouzdaniji pristup oslanjanje na službene objave kluba, obavijesti nadležnih tijela i provjerene sigurnosne preporuke. Ako član zaprimi poruku koja se poziva na incident i traži unos lozinke, podataka o kartici ili OIB-a putem poveznice, takav zahtjev treba smatrati sumnjivim dok se ne provjeri izravno preko službenih kanala.
Dinamo je u prvoj obavijesti od 2. lipnja naveo da će članove i javnost bez odgode obavijestiti čim budu dostupne potvrđene informacije o opsegu incidenta i eventualno zahvaćenim kategorijama podataka. Ažurirana obavijest od 3. lipnja predstavlja nastavak tog procesa, ali ne mora biti i posljednja informacija o događaju. Ako istraga utvrdi nove činjenice, klub bi prema vlastitim najavama i pravilima o zaštiti osobnih podataka trebao nastaviti obavještavati one na koje se incident odnosi. Za javnost je pritom ključno da svaka nova tvrdnja bude jasno odvojena od onoga što je već potvrđeno.
Što članovi mogu učiniti odmah
Članovi koji su koristili digitalne usluge povezane s klubom trebali bi najprije pratiti službene objave GNK Dinama i obratiti pozornost na eventualnu individualnu obavijest koja bi mogla stići e-mailom. Takvu poruku treba provjeriti pažljivo: pošiljatelj mora biti vjerodostojan, poveznice se ne smiju otvarati automatski, a zahtjevi za unosom lozinke, kartičnih podataka ili dodatnih osobnih podataka trebaju izazvati poseban oprez. Sigurnije je ručno otvoriti službenu internetsku stranicu kluba ili se obratiti službeniku za zaštitu podataka na adresu koju je klub naveo u svojoj obavijesti. Ako poruka izgleda sumnjivo, ne treba odgovarati na nju niti otvarati privitke.
Preporučljivo je promijeniti lozinku za korisnički račun ako se koristi stara ili slaba lozinka, osobito ako je ista lozinka korištena na drugim uslugama. Dobra lozinka trebala bi biti duga, jedinstvena i teško pogodiva, a ondje gdje je moguće treba uključiti višefaktorsku autentifikaciju. Ako korisnik primi poruku koja traži hitno plaćanje, potvrdu kartice ili ponovno unošenje osobnih podataka, treba provjeriti zahtjev drugim kanalom prije bilo kakve radnje. CERT i policija u svojim općim preporukama upozoravaju da je cilj phishing poruka navesti korisnika na predaju podataka ili klik na zlonamjernu poveznicu, pa je smirena provjera najbolja zaštita.
Oprez je potreban i u idućim tjednima, jer se pokušaji prijevara ne moraju pojaviti odmah nakon incidenta. Ako su nečiji kontakt-podaci bili zahvaćeni, lažne poruke mogu se pojaviti naknadno i mogu se pozivati na članstvo, ulaznice, pogodnosti, nagradne igre ili navodnu sigurnosnu provjeru. Posebno treba izbjegavati dijeljenje fotografija osobnih dokumenata, kartičnih podataka ili jednokratnih kodova za potvrdu transakcija. U slučaju sumnje na zlouporabu financijskih podataka, potrebno je odmah kontaktirati banku, a u slučaju prijevare ili pokušaja prijevare mogu se obavijestiti policija i relevantne službe za kibernetičku sigurnost.
Digitalno povjerenje postaje dio odgovornosti sportskih organizacija
Sigurnosni incident u Dinamu pokazuje koliko su sportski klubovi postali digitalne organizacije. Članstva, ulaznice, internetske trgovine, newsletteri, aplikacije i komunikacija s navijačima oslanjaju se na baze podataka i vanjske tehnološke sustave. Takav model donosi bržu komunikaciju i jednostavnije usluge, ali povećava i odgovornost za zaštitu osobnih podataka. U javnosti se sportske organizacije često promatraju kroz rezultate, transfere i utakmice, no njihova digitalna infrastruktura sve je važniji dio povjerenja između kluba i članova.
Za Dinamo će daljnji tijek slučaja ovisiti o rezultatima istrage, eventualnim dodatnim obavijestima i mjerama koje će klub provesti kako bi smanjio rizik od ponavljanja sličnih događaja. Klub je već objavio da se poduzimaju radnje za dodatno ojačavanje sigurnosti svih podataka, ali nije detaljno naveo koje će tehničke i organizacijske mjere biti provedene. U ovoj fazi najvažnije je da članovi ne paničare, ali da postupaju oprezno, osobito prema porukama koje traže brzu reakciju ili unos osjetljivih podataka. Prema dostupnim službenim informacijama od 04. lipnja 2026., potvrđeno je da incident ima ograničen obuhvat, da se obavještavanje zahvaćenih članova nastavlja i da klub tvrdi kako podaci o karticama i lozinkama nisu kompromitirani.
Izvori:
- GNK Dinamo – ažurirana službena obavijest o sigurnosnom incidentu i kategorijama podataka koje su mogle biti obuhvaćene (link)
- GNK Dinamo – prva obavijest članovima o mogućem sigurnosnom incidentu i pokretanju interne procedure (link)
- Agencija za zaštitu osobnih podataka – informacije o izvješćivanju o povredi osobnih podataka i roku od 72 sata (link)
- EUR-Lex – tekst Opće uredbe o zaštiti podataka, uključujući pravila o povredi osobnih podataka (link)
- Nacionalni CERT – objašnjenje phishinga i načina na koji se pokušavaju prikupiti povjerljivi podaci (link)
- Ravnateljstvo policije – objašnjenja o internetskim prijevarama i phishing porukama (link)
- Tportal – medijsko izvješće o navodima koji su prethodili službenim obavijestima kluba (link)