Dan nakon što je Portal ReStart objavio vijest o curenju 20.000 osobnih podataka iz hrvatskih državnih sustava, isti Telegram kanal objavio je novu datoteku s gotovo 40.000 dodatnih zapisa. Ukupno je sada javno dostupno blizu 60.000 osobnih podataka hrvatskih građana. Ministarstvo unutarnjih poslova, Ministarstvo pravosuđa, AZOP i CERT.hr do zaključenja ovog teksta nisu odgovorili.
Što se dogodilo od jučer
U nedjelju, 25. svibnja 2026., Portal ReStart objavio je vijest o tome kako je na Telegram kanalu @INFGRUPA besplatno objavljeno 20.000 osobnih podataka hrvatskih građana, uključujući OIB-ove, JMBG-ove, datume rođenja i – što je posebno zabrinjavajuće – evidencije iz 8.620 prekršajnih postupaka pred sudovima i policijskim postajama.
Već sljedećeg dana, 26. svibnja, isti kanal objavio je novu datoteku pod nazivom 40k_HRV s gotovo 40.000 dodatnih zapisa. Novi skup sadrži iste kategorije osobnih identifikatora – ime i prezime, OIB, JMBG i datum rođenja – ali bez evidencija prekršajnih postupaka. Ukupan broj javno objavljenih zapisa time dostiže gotovo 60.000.
Oba skupa podataka objavljena su besplatno, bez ikakvih uvjeta pristupa.
Čiji su podaci i što napadači mogu učiniti s njima
Kombinacija OIB-a, JMBG-a i datuma rođenja predstavlja iznimno vrijedan paket za zlouporabe. Svaki od tih podataka sam po sebi nije dovoljan za ozbiljniju prijevaru, ali zajedno omogućuju niz opasnih scenarija:
• Krađa identiteta – lažno predstavljanje u bankarskim i administrativnim postupcima koji zahtijevaju kombinaciju osobnih identifikatora
• Phishing napadi – personalizirane prijevare temeljene na točnim osobnim podacima, kojima je teško prepoznati lažnost
• Ucjena i iznuda – posebno u slučajevima gdje baza sadrži i prekršajne podatke, koji otkrivaju osjetljive detalje iz privatnog ili poslovnog života
• Prodaja podataka trećim stranama – podaci su već jednom procurili i mogu kruži dalje, neovisno o tome što se dogodi s originalnim kanalom
• Socijalni inženjering – kombinacija točnih podataka olakšava manipulaciju žrtvama ili njihovim okruženjem
Posebno je zabrinjavajuća prisutnost JMBG-a – identifikatora koji je formalno ukinut 1991., ali i dalje postoji u starijim bazama podataka. Upravo ta kombinacija starog i novog identifikatora sugerira da izvor nije nova, digitalno nativna baza, nego sustav koji je migrirao starije zapise – što dodatno sužava krug mogućih izvora na MUP i Ministarstvo pravosuđa.
Što trebate učiniti ako sumnjate da su vaši podaci zahvaćeni
Budući da nadležne institucije još nisu potvrdile niti demantovale incident, građani nemaju službeni kanal za provjeru jesu li pogođeni. Ipak, preporučujemo sljedeće korake:
• Obratite se AZOP-u (azop@azop.hr) i zatražite informaciju o tome je li vaš OIB zahvaćen poznatom povredom – to je vaše pravo kao ispitanika prema čl. 15. GDPR-a
• Pratite aktivnost na vašim bankovnim računima i prijavama u digitalne servise (e-Građani, Porezna uprava)
• Budite posebno oprezni prema e-mailovima, SMS porukama ili telefonskim pozivima koji sadrže točne osobne podatke – to ne mora značiti da pozivatelj ima legitimni pristup vašim podacima
• Ako primate sumnjive kontakte koji koriste vaše osobne podatke, prijavite ih policiji
Institucije i dalje šute
Portal ReStart uputio je jučer novinarske upite Ministarstvu unutarnjih poslova, Ministarstvu pravosuđa i uprave, Agenciji za zaštitu osobnih podataka (AZOP) i nacionalnom CERT-u. Do zaključenja ovog teksta nismo zaprimili odgovor ni od jedne institucije.
Prema GDPR-u, voditelj obrade koji je pretrpio povredu osobnih podataka obavezan je to prijaviti AZOP-u kao nadzornom tijelu u roku od 72 sata od saznanja o incidentu. Ako povreda uključuje visok rizik za prava i slobode ispitanika – što je ovdje nedvojbeno slučaj, posebno zbog prekršajnih podataka koji spadaju u posebnu kategoriju po čl. 10. GDPR-a – voditelj obrade mora obavijestiti i sve pogođene osobe.
Svaki sat šutnje institucija povećava rizik za gotovo 60.000 građana čiji su podaci već javno dostupni.
Autor: I.P.
Pratite razvoj
Portal ReStart nastavlja pratiti ovaj incident i čeka odgovore institucija. Prvu vijest pročitajte ovdje:
👉restartaj.org/2026/05/25/procurilo-20-000-osobnih-podataka-hrvatskih-gradana-oib-ovi-jmbg-ovi-i-evidencije-prekrsajnih-postupaka/
Odgovori