Policija je preuzela slučaj hakerskog napada na A1 Hrvatska. Iz PU zagrebačke jučer nisu bili razgovorljivi o slučaju. "Policija je upoznata s događajem koji je predmet medijskih natpisa te poduzima mjere iz svoje nadležnosti u svrhu utvrđivanja svih relevantnih činjenica", rekli su kratko. Regulatori AZOP i HAKOM također su već na terenu.
U međuvremenu, kriminalac se javio Indexu, pravdajući se da je ukrao osobne podatke 100.000 građana i ucijenio A1 da plati otkupninu od 150 Ethereuma, ili oko tri milijuna kuna, inače će to objaviti, kako bi ukazao da A1 ne poštuje GDPR i da se brine za korisnike.
A1 je svoj odgovor dao u srijedu ujutro tako što je o svemu obavijestio policiju, AZOP, HAKOM i medije. Potaknuti pak brojnim pitanjima korisnika pripremili smo odgovore na pet ključnih pitanja o ovom slučaju.
1. Što točno znači da su vaši osobni podaci "kompromitirani"?
Birokratski način da se kaže da je netko, tko za to nema ovlaštenje, imao uvid u vaše osobne podatke. U slučaju hakerskog napada na A1 to znači da se haker kriminalac preko interneta uspio spojiti na korisničku bazu A1 i u njoj imao uvid u vaše osobne podatke. Može to značiti da je te podatke samo vidio, vidio i prepisao, vidio i kopirao, kao i da je potencijalno s njima nešto napravio. Mnogo je mogućnosti, a sve su svedene pod termin "kompromitirani" podaci. Zasad se zna da je haker i vidio i kopirao kod sebe dio podataka i da je poslao mail upravi A1 i ucijenio je da će sve objaviti ako mu ne plate 150 Ethereuma.
2. Kako možete znati jesu li se hakeri domogli vaših podataka?
Prema GDPR regulativi, svi vaši osobni podaci su vaša osobna imovina. To znači da ni trgovački lanac u čijem ste programu lojalnosti, ni vlasnik web stranice na kojoj ste pristali primiti 'kolačiće', a ni A1 Hrvatska nisu vlasnici vaših osobnih podataka. To ste vi. GDPR je prisilio tvrtke da vam to vlasništvo priznaju. Usto, prisilio je tvrtke da vas, u slučaju da vam je to vlasništvo povrijeđeno, o tome obavijeste. A1 je stoga prema GDPR-u obavezan obavijestiti korisnike čiji su podaci kompromitirani. Ako niste primili obavijest, to vjerojatno niste vi. No, i dalje, prema GDPR-u, možete to pitati A1 i morate dobiti odgovor.
3. Mogu li hakeri iskoristiti te podatke za hakiranje privatnih e-mail sandučića, kreditnih kartica ili nekih drugih usluga koje koriste korisnici A1?
A1 je obavezan otkriti i koje su točno vrste osobnih podataka kompromitirane. Operater je stoga objavio da su to: ime i prezime, adresa, OIB, broj mobitela i tarifna opcija. Na tom popisu, dakle, nema brojeva kreditnih kartica, šifri e-mail sandučića, fotografija skeniranih osobnih iskaznica i drugih sličnih podataka. Tako se može zaključiti da kriminalci s tim podacima mogu malo toga napraviti, sigurno ne plaćati vašim kreditnim karticama jer ih i nemaju. Ipak, ono što sad kriminalci znaju jest gdje stanujete, koji vam je OIB i koji imate broj mobitela. Dakle, nije isključeno da vas neće na prevaru nazvati i žicati da im izdiktirate broj kreditne kartice, pošaljete fotografiju svoje osobne iskaznice ili slično. To nemojte napraviti i prijavite to policiji!
4. Kako se možete zaštititi i možete li tražiti odštetu od A1?
Štititi se ne morate vi. Štititi se bolje mora A1. Operater je već objavio da je poduzeo sve radnje kako bi slični hakerski napadi bili nemogući. U akciju su već krenuli i regulatori, AZOP i HAKOM, koji utvrđuju stanje, ali će A1 potencijalno propisati i dodatne zaštite. Regulatori su tu dosta efikasni. AZOP je lani kaznio IT tvrtku koja je radila s Tele2, jer je ta tvrtka prije dvije godine doživjela sličan hakerski napad. No, regulatori ne mogu ništa više. Osobni podaci su vaša imovina pa vi teoretski imate pravo tražiti odštetu, ali jedino vam odvjetnik može reći koliko je takva tužba realna jer nisu ukradeni financijski i ini osobni podaci.
5. Zašto je A1 priznao da su hakirani i da su ukradeni osobni podaci?
A1 zbog GDPR-a nije smio prešutjeti napad, jer bi time prekršio hrvatski zakon i EU regulativu. No, šutnja mu ne bi bila ni isplativa. A1 je tvrtka koja je u vlasništvu Telekoma Austrija, a on je dio America Movila. Da je teoretski A1 sve prešutio, Europska komisija bi dobila priliku da America Movilu odreže kaznu za kršenje GDPR-a. Kazne za to su brutalne. EK je lani kaznila Amazon za kršenje GDPR-a sa 746 milijuna eura, WhatsApp s 225 mil. eura, Google u Irskoj s 90 mil. eura, Facebook sa 60 mil., Google dodatno sa 60 i s 50 mil. eura, H&M s 35 mil., Telekom Italiju s 27,8 mil., British Airways s 22 mil., Marriott s 20,4 mil. eura itd. Ako je kompanija učinila sve po pitanju prevencije i obrane vaših osobnih podataka, mudrije joj je to sve prijaviti i javno objaviti. U tom slučaju nema kazne, kao što se ni banku ne kažnjava zato što su je lopovi opljačkali.