Telekom Slovenije se je znašel v središču enega najresnejših kibernetskih incidentov v svoji zgodovini. V sredo, 26. februarja 2025, se je na temnem spletu (dark net) pojavila baza podatkov, ki po navedbah napadalcev vsebuje 385 dokumentov, vključno s projektnimi zapisi, dnevniki (logi) sistemov, zahtevami za podporo ter seznami zaposlenih in strank. Arhiv baze je ima 344 MB, kar nakazuje na veliko količino internih podatkov.

Uporabnik Rey, ki je to objavil na hekerskem forumu imenovanem Breachforums na temnem spletu, trdi, da on (ali skupina) ni zahtevala nikakršne finančne kompenzacije. Uporabnik je priložil tudi.zip datoteko, ki jo uporabniki foruma lahko brez plačila prenesejo na svoj računalnik.

V Telekomu Slovenije so potrdili, da so zaznali varnostni incident in sprejeli vse potrebne ukrepe za njegovo ublažitev ter preprečitev nadaljnjega širjenja vdora. Najprej so zatrjevali, da vdor ni zajel podatkov o naročnikih ali njihovih komunikacijah. Pozneje so potrdili, da so bili vključeni tudi podatki o njihovih naročnikih. Tarča vdora je bil po njihovih navedbah podporni sistem za upravljanje incidentov in reševanje napak.

Forum, na katerem so bili objavljeni ukradeni podatki. FOTO: posnetek zaslona

Ne glede na pomirjajoče uradne izjave so se v uredništvu Financ znašli dokumenti, ki naj bi vsebovali občutljive informacije o naročnikih, vključno z naslovi, telefonskimi številkami in IP-naslovi. Del razkritih dokumentov se domnevno nanaša tudi na poslovanje Telekomove hčerinske družbe IPKO na Kosovu.

Podatki že naprodaj na temnem spletu

Informacije, ki so se pojavile na forumih na temnem spletu, kažejo, da se ukradeni podatki že na voljo za ogled. Uporabnik, ki se predstavlja kot Rey, je v objavi na enem od hekerskih forumov razkril, da arhiv vsebuje finančna poročila, podatke o uporabnikih in zaposlenih, dnevnike IT-infrastrukture ter informacije o notranjih poslovnih procesih, vključno s sistemi​ CRM in SAP. 

Poleg tega je na drugem IT-forumu uporabnik z imenom milos_rs objavil analizo datotek, pri čemer je poudaril, da gre večinoma za podatke iz notranje platforme Jira, ki se uporablja za vodenje projektov in reševanje težav. To je postavilo vprašanje, kako je napadalcem uspelo pridobiti dostop do teh informacij, saj je to interna storitev brez zunanjega dostopa.

Kdo stoji za napadom?

Po do zdaj dostopnih informacijah obstaja sum, da je napad izvedla skupina Hellcat, ki je že odgovorna za napade na velike mednarodne korporacije, vključno s Schneider Electric.

Schneider Electric je bil tarča kibernetskega napada, za katerega je odgovorna skupina Hellcat. Napadalci so pridobili občutljive poslovne podatke in povzročili motnje v delovanju sistemov podjetja. FOTO: Benoit Tessier/Reuters

Hellcat je znan po uporabi naprednih metod za vdor v IT-sisteme, krajo podatkov in njihovo šifriranje z namenom izsiljevanja. Čeprav ni potrjeno, ali so tudi tokrat uporabili izsiljevalsko programsko opremo (ang. ransomware), strokovnjaki menijo, da so pridobili širok nabor občutljivih informacij.

Posledice podatkovnih vdorov

Podatkovni vdori (ang. data breaches) imajo resne posledice, ki segajo od finančne škode do izgube zaupanja uporabnikov in regulatornih sankcij. Napad na Telekom Slovenije je zgolj najnovejši v nizu podobnih incidentov, ki so v zadnjih letih prizadeli tako domača kot tuja podjetja.

Za podjetja vdor v informacijske sisteme pomeni ne le morebitno finančno izgubo, ampak tudi ugledno tveganje, saj razkritje občutljivih podatkov lahko povzroči množične odhode strank. Poleg tega lahko regulatorji podjetje kaznujejo zaradi neustreznega varovanja osebnih podatkov, kar lahko privede do milijonskih glob.

Za posameznike, katerih podatki so bili razkriti, to pomeni povečano tveganje za krajo identitete, finančne prevare in ciljane kibernetske napade, kot so lažna elektronska sporočila (ang. phishing) ali izsiljevalska programska oprema.

Del razkritih dokumentov se domnevno nanaša tudi na poslovanje Telekomove hčerinske družbe IPKO na Kosovu. FOTO: Jože Suhadolnik/Delo

Vse večja sofisticiranost kibernetskih napadov kaže na nujnost izboljšanja varnostnih praks in vlaganj v kibernetsko obrambo. Podjetja in organizacije morajo okrepiti svoje sisteme za zaščito podatkov, redno posodabljati varnostne protokole ter izobraževati zaposlene o nevarnostih kibernetskih napadov.