Isplivali zdravstveni podaci, građani izloženi velikom riziku: Advokat Šabić objašnjava ko mora da snosi posledice za curenje informacija iz Telekoma

Gotovo da se ne zna koji podatak je osetljiviji. SHARE fondacija je otkrila i da su čak objavljeni podaci koji sadrže JMBG trećih lica, koja čak i nisu potpisivali nikakve ugovore.

Sem toga, ono što je posebno zabrinjavajuće jeste i to što su operateri prikupljali i određene informacije o korisnicima usluga, poput odlazaka na operaciju ili zdravstvenog stanja deteta. Jedan od podataka koji predstavlja pretnju po fizičku bezbednost, jeste infromacije o kretanju korisnika, jer je u komentarima beleženo kada su građani pričali kada i koliko će biti odsutni zbog ličnih obaveza, a pominju se i kućne prilike.

Afera je otkrivena nakon što su marta ove godine hakeri objavili bazu podataka koja sadrži informacije o pretplatnicima m:SAT TV u rasponu od januara 2019. do decembra 2025. godine. Ona je nastala kroz operativni rad terenskih tehničara i call centara – svaki kontakt sa pretplatnikom prilikom instalacije, servisiranja ili raskida ugovora ostavio je trag.

Advokat i pravni analitičar Rodoljub Šabić za portal Nova.rs ističe da su ovim hakerskim napadom kompromitovani i trajno izloženi lični podaci nekoliko stotina hiljada građana.

"U bazi su pored približno 340.000 JMBG-a, u najvećem broju slučajeva, i ime i prezime, kontakt telefon, kućna adresa i niz drugih ličnih i tehničkih podataka koje zajedno omogućavaju definisanje detaljnog profila mnogih pretplatnika. Mislim da čak i potpunom laiku mora biti jasno da je kompromitacija takve baze podataka vrlo opasna i da podrazumeva brojne rizike za ljude o čijim podacima se radi", kaže Šabić.

On ističe da za odgovor na pitanje da li će i ko snositi odgovornost i kakvu, treba sačekati da nadležni utvrde sve relevantne činjenice. Ipak, kako kaže, zasad se ne čini da su oni tome blizu.

"Od tužilaštva smo čuli malo, skoro ništa. Znamo samo da je "pokrenulo postupak" i da će "nakon pribavljanja neophodnih podataka i obaveštenja, te analize istih, javnost biti obaveštena o daljem postupanju“. Ono što smo čuli od Poverenika, bar za početak, deluje kao vrlo blagonaklono prema Telekomu. Poverenik je prvo saopštio da će o tome da li će pokrenuti postupak nadzora odlučiti tek kad dobije izjašnjenje Telekoma, iako je na osnovu prethodnih potcenjivačkih izjava vodećih ljudi Telekoma o incidentu bilo jasno da nije verovatno da će Telekom biti objektivan", naglašava advokat.

Prema njegovim rečima, kada je dobio izjašnjenje, poverenik je saopštio da je "prilično uopšteno", kao i da je zatražio dodatno izjašnjenje i da će nakon što ga dobije, odlučiti da li će sprovoditi postupak nadzora.

"Lično mislim da je nadzor neizbežan. Ako treba čekati odgovor na glavno pitanje - da li je Telekom i kako preduzimao sve neophodne mere u svrhu zaštite podataka korisnika, niz već poznatih okolnosti govori da Telekom već jeste počinio više prekršaja zakona. Primera radi, iako obavezan, on nije prijavio Povereniku incident, jer je Poverenik saopštio da je obavešten anonimnom prijavom. Telekom nije, iako dužan, prijavio incindent ni licima o čijim podacima se radi", kaže sagovornik.

Telekom ilegalno obrađivao lične podatke građana

Ono što je posebno problematično u ovom slučaje, jeste da je Telekom obrađivao, suprotno zakonu, i neke lične podatke bez osnova i svrhe, poput podataka trećih lica koji nisu korisnici njegovih usluga, pa čak i podatke koje ni u kom slučaju nije smeo obrađivati, poput podataka o zdravstvenom stanju korisnika, a sve navedeno, po Zakonu o zaštiti podataka o ličnosti, predstavlja kažnjive prekršaje.

"Potencijalno bez sumnje, ali i realno, ovakvi podaci i pojedinačno, a pogotovo kombinovani, mogu poslužiti za razne oblike ugrožavanja lične ili imovinske bezbednosti. U bazi su, čak u velikom broju, sasvim nepotrebno, obrađivani podaci podobni za razne oblike ugrožavanja poput krađe identiteta, fišing prevare, fizičkog ugrožavanja, provala u stan, da ne nabrajam dalje. Građani čiji podaci su kompromitovani treba da budu oprezni u vezi sa eventualnim neočekivanim pozivima ili porukama, pogotovo ako se njima traže još neki lični podaci ili finansijske transakcije", kaže advokat Rodoljub Šabić.

Šta je otkrila Share fondacije?

Podsetimo, obimna baza podataka o korisnicima m:SAT televizije, koja je u martu 2026. godine dospela u javnost nakon hakerskog napada, obuhvata lične i tehničke podatke građana Srbije prikupljane tokom gotovo sedam godina, od januara 2019. do decembra 2025. godine. Prema istraživanju SHARE fondacije, reč je o jednom od najvećih poznatih curenja podataka u Srbiji, koje pogađa stotine hiljada ljudi.

Kako navodi SHARE fondacija, podaci iz baze su se vremenom akumulirali i razmenjivali kroz mrežu partnera i podizvođača širom zemlje, što je dodatno povećalo rizik od njihovog curenja.

Iako baza sadrži ukupno 688.884 unosa, ne radi se o istom broju jedinstvenih osoba, jer je svaka intervencija beležena posebno. Ipak, prema podacima SHARE fondacije, čak 338.934 različita jedinstvena matična broja građana ukazuju da su kompromitovani podaci više stotina hiljada pojedinaca. Ono što ovu bazu čini posebno osetljivom jeste činjenica da ne obuhvata samo osnovne informacije, već detaljne profile korisnika – od imena i prezimena, preko tačnih adresa sa brojem stana, do mobilnih telefona koji se nalaze u više od 94 odsto unosa.

SHARE fondacija upozorava da opasnost ne leži samo u pojedinačnim podacima, već u njihovoj kombinaciji. Povezivanje imena, JMBG-a, adrese i broja telefona, kako navode, dovoljno je za krađu identiteta, finansijske prevare ili zloupotrebe u digitalnom i fizičkom prostoru. Posebno je problematično što su neki od ovih podataka, poput JMBG-a i adrese, trajni i ne mogu se promeniti.

Problematični komentari

Dodatnu težinu slučaju daju komentari operatera i terenskih službi, koji se nalaze u više od 236.000 unosa. Prema istraživanju SHARE fondacije, upravo u tim beleškama nalaze se najosetljivije informacije – od matičnih brojeva trećih lica, koja nikada nisu bila korisnici usluge, do zdravstvenih podataka i detalja o privatnom životu. U pojedinim slučajevima beleženi su razlozi odlaganja instalacije koji otkrivaju zdravstveno stanje korisnika ili članova njihovih porodica, što predstavlja kategoriju podataka pod posebnom zakonskom zaštitom.

Osim toga, kako ukazuje SHARE fondacija, komentari često sadrže i precizne informacije o kretanju korisnika, uključujući podatke o tome kada nisu kod kuće, kao i detalje o porodičnim prilikama, poput selidbi, podstanara ili boravka u bolnici. Takve informacije, kada se povežu sa tačnom adresom, mogu direktno ugroziti fizičku bezbednost građana.

Baza obuhvata korisnike iz 151 grada i opštine širom Srbije, najveći broj unosa odnosi se na Beograd, dok je na drugom mestu Loznica.

„Korisnica je kod kuće do 15h“

SHARE fondacija je u velikom istraživanju navela i neke od komentara koje su operateri unosili, koji često otkrivaju intimne detalje o zdravlju pretplatnika ili članova porodice.

"Sutra ide u bolnicu, ima operaciju srca, ne zna kad će izaći".

"Korisnica je odustala do daljnjeg zbog ozbiljnog zdravstvenog stanja deteta".

Takođe, pojedini komentari precizno beleže kada pretplatnik nije kod kuće. To je informacija koja može poslužiti za fizičke napade ili provale.

„Korisnica je kod kuće do 15h“.