Maloljetni Slavonac provalio je u sustav teleoperatera A1 Hrvatska i tvrdi da je ukrao je podatke čak 100.000 korisnika. Također tvrdi da su ti podaci završili na dark webu, odnosno u internetskom podzemlju. U njega je ekipu Provjerenog uveo Mislav Major, inženjer za sigurnost CARNET-a. Na početku je instalirao internetski preglednik Tor.
"Osnovni tvorci Tora nisu to nikad gledali kao nešto što se koristi za kriminal, nego kao alat za budu anonimnost. Moje surfanje iz Hrvatske on prezentira kao da je iz Amerike", rekao je Major.
Također se može pronaći skup digitalnih informacija i podataka koji su ukradeni od neke kompanije.
"To je veliki skup informacija koje je neki haker ili skupina hakera ukrala od neke firme i odlučila iz nekog razloga, čini se besplatno, dati javnosti da bilo tko to može skinuti i raditi što god hoće", objasnio je Major te dodao: "Vidimo da imamo i osobne, putovnice, osobne iskaznice, razne informacije. Radi se i o nekim korisničkim imenima i lozinkama ljudi."
Dark web je mjesto prepuno osobnih podataka, povjerljivih informacija i dokumenata raznih tvrtki i institucija, stranica dobro poznatih na uobičajenom internetu kojima se na ovom crnom može pristupiti mnogo tajnovitije. Postoje i stranice na kojima se mogu naručiti zakonom zabranjene stvari.
Ipak, sve te stranice, za koje ne možemo s apsolutnom sigurnošću znati jesu li stvarne, mogu pratiti i policijske službe diljem svijeta. Nekada su kreirane od strane istražnih tijela, ističe Major, kako bi se lakše pratilo kriminalce i korisnike njihovih usluga.
"Mislim da su ti podaci bezvrijedni"
Maloljetni haker koji je ovih dana top tema nakon što je, kaže, ukrao osobne podatke korisnika iz jedne baze podataka javio se odmah s tom informacijom teleoperateru, a onda i više medija. Tražio je novac i postavio rok. Kada je rok istekao, rekao je da je sve objavio na dark webu. No dokaz za to nije pružio. Agencija za zaštitu osobnih podataka primila je stotine upita zabrinutih građana o tome što se sve može uraditi s njihovim ukradenim podacima.
"Najviše ih brine može li se eventualno s tim setom podataka njima nanijeti neka materijalna šteta. Ono što možemo reći je da, s obzirom na trenutne spoznaje vezano za sam incident, se vrlo teško mogu ostvariti nekakve materijalne štete na račun samih građana", rekao je Siniša Kovačić, načelnik Službe za nadzor i središnji registar Agencije za zaštitu osobnih podataka.
S tim se zaključkom slaže i informacijski stručnjak Lucijan Carić.
"U ovom slučaju ja mislim da su ti podaci bezvrijedni. Većina tih podataka o ljudima nije tajna, bez obzira što ljudi mislili i koliko se osjećali povrijeđeni", rekao je.
Maloljetni haker je iz Brodsko-posavske županije. Policija mu je pretražila računalnu opremu i mobilne uređaje. Kada djeca ili odrasli pokažu svoje sposobnosti, pa i na ovakav način, nije neuobičajeno da poslije postanu zaposlenici tih istih institucija ili tvrtki u čije su sustave provalili. Za to, tvrdi Carić, ipak treba voditi računa o nekoliko stvari.
"U pravilu je dobra praksa da, ako nađete sigurnosne propuste u aplikacijama neke tvrtke, vi na to možete upozoriti. Postoje čak institucije koje nude nagrade za pronalazak takvih sigurnosnih problema, a postoje neke koje nisu sretne kad im se ti sigurnosni problemi jave. Sigurno nije metoda da obavijestite medije, niti da tražite nekakav novac kako ne biste otkrili podatke", rekao je.
Postoji i hakiranje po narudžbi. Može se angažirati takozvanog bijelog hakera da provjeri sigurnost informacijskog sustava.
"Nakon toga o svojim saznanjima obavijestite toga korisnika koji vas je platio. Oni poprave ako su neki problemi postojali i onda vi najčešće napravite reviziju da vidite da li su popravili dobro. I time je vaš zadatak završen", objasnio je Carić.
Firme većinom plaćaju otkupninu hakerima
Pitanje digitalne sigurnosti u fokus hrvatske javnosti došlo je s posljednjim hakerskim napadom. No, brojni su napadi za koje nikada ne saznamo, nekada i jer jake svjetske tvrtke plate tražene iznose samo kako se ne bi narušio njihov imidž.
"Firme će većinom platiti neku otkupninu, Prvenstveno zato da se ne otkrije da su oni bili hakirani, da zaštite svoj integritet i da zaštite povjerenje svojih korisnika", rekao je Major.
Kada se napad dogodi, kažu iz Agencije za zaštitu osobnih podataka, savjet je ništa ne uplaćivati hakerima, nego obavijestiti nadležne institucije. Da se napad ne bi dogodio, same tvrtke moraju poduzeti sve što je u njihovoj moći. Građani, pak, nakon što su im podaci ukradeni, mogu podnijeti zahtjev na stranicama Agencije za zaštitu osobnih podataka.
"Svaki voditelj obrade treba ispitaniku dati informaciju koje sve osobne podatke od njega obrađuje, u koju svrhu, koliko dugo će čuvati te podatke, tko sve ima pravo pristupa tim podacima", rekao je Kovačić.
Ako je došlo do kršenja pravila o zaštiti osobnih podataka vezano za tehničke i organizacijske mjere, tvrtke i institucije mogu platiti goleme, milijunske kazne.
Iz A1 kažu da njihovi korisnici ne trebaju mijenjati lozinke niti poduzimati nikakve dodatne mjere zaštite. Reporterka Provjerenog Ana Malbaša poslala je upit znaju li jesu li zaista podaci njihovih korisnika završili na dark webu? Kazali su da raspolažu s informacijama da je policija spriječila da podaci budu javno objavljeni i da je u tijeku kriminalistička istraga. Ni ekipa Provjerenog ni sugovornici iz ove priče te podatke nisu uspjeli pronaći.
Emisiju gledajte četvrtkom navečer na Novoj TV, a više o pričama iz Provjerenog saznajte na novatv.hr/provjereno
Propustili ste emisiju? Pogledajte je besplatno na novatv.hr