ShinyHunters ukrao 297 GB iz HR sustava Vijeća Europe

ShinyHunters ukrao 297 GB iz HR sustava Vijeća Europe

Vijeće Europe, vodeća institucija kontinenta za ljudska prava, demokraciju i vladavinu prava, postalo je najnovija visokoprofilirana žrtva ransomware grupe ShinyHunters. Povreda je razotkrila 297 GB osjetljivih podataka iz ljudskih resursa i platnih lista, uključujući više od 409 000 platnih listića i preko 14 000 životopisa zaposlenika, što pogađa osoblje Tajništva i Uprave za ljudske resurse. Povreda podataka Vijeća Europe od strane ShinyHuntersa nije samo kibernetički incident; to je jasan podsjetnik da čak i tijela zadužena za zaštitu prava građana mogu podbaciti u zaštiti osobnih podataka vlastitih ljudi.

Što je ukradeno: Unutar provale HR i platnih podataka od 297 GB

Prema tvrdnjama ShinyHuntersa, plijen iz ove povrede je golem. Kompromitirano je više od 429 000 datoteka, a podaci obuhvaćaju platne listiće, životopise, ugovore o radu i interne HR evidencije. Samo platni listići čine više od 409 000 dokumenata, što znači da povreda vjerojatno pokriva značajan dio sadašnjih i bivših zaposlenika Vijeća.

Osjetljivost ovih podataka ne može se dovoljno naglasiti. Platni listići obično sadrže puna imena i prezimena, kućne adrese, nacionalne identifikacijske brojeve, podatke o bankovnim računima, podatke o plaći i porezne evidencije. Životopisi dodaju još jedan sloj izloženosti, uključujući obrazovne povijesti, osobne reference i podatke o prethodnim zaposlenjima. Zajedno, te informacije pružaju kibernetičkim kriminalcima sve što im je potrebno za provođenje ciljanih phishing kampanja, krađu identiteta ili prodaju pojedinačnih profila na dark web tržištima.

Ovakav tip napada usmjeren na ljudske resurse sve je češći. Povreda HR sustava Statistics South Africa slijedila je zapanjujuće sličan obrazac, gdje su napadači ciljali internu infrastrukturu ljudskih resursa kako bi izvukli evidencije zaposlenika umjesto da napadaju sustave okrenute korisnicima.

Zašto je Vijeće Europe visokovrijedna meta za ransomware grupe

Na prvi pogled, međuvladina organizacija usmjerena na ljudska prava može djelovati kao neobična meta za ransomware. U praksi je iznimno privlačna. Vijeće Europe zapošljava tisuće djelatnika u svom sjedištu u Strasbourgu i brojnim terenskim uredima, što znači da su njihove HR baze prepune osobnih podataka. Institucionalni ugled također povećava pritisak koji ransomware grupe mogu izvršiti: reputacijski trošak povrede veći je za tijelo čiji mandat uključuje prava građana i zaštitu podataka.

ShinyHunters ima dobro dokumentiran obrazac ciljanja velikih, vidljivih organizacija kako bi maksimizirali pritisak za plaćanje otkupnine. Ranije ove godine grupa je izdala javni ultimatum nizozemskom telekomunikacijskom operateru Odido. Kako je detaljno opisano u izvještaju o povredi podataka Odida koja je pogodila 8 milijuna korisnika, ShinyHunters je prijetio objavljivanjem ukradenih podataka korisnika ako otkupnina ne bude plaćena, pokazujući spremnost da koristi javno objavljivanje kao alat pritiska. Čini se da se ovdje primjenjuje isti priručnik.

Povreda Vijeća Europe također slijedi ranije objavljeni napad ShinyHuntersa na cloud infrastrukturu Europske komisije, koji je navodno uključivao preko 350 GB podataka s platforme Europa.eu. Uzeti zajedno, ovi incidenti sugeriraju da je grupa europske institucije učinila namjernim fokusom svojih operacija u 2025. i 2026.

Ironija da čuvari privatnosti ne uspijevaju osigurati osobne podatke

Vijeće Europe je tijelo odgovorno za Europsku konvenciju o ljudskim pravima i nadgleda okvire koje države članice koriste za upravljanje zaštitom podataka i digitalnom privatnošću. Drugim riječima, riječ je o instituciji koja postavlja standard za postupanje s osobnim podacima i njihovu zaštitu. Ironiju da upravo ta institucija pretrpi povredu ovakvih razmjera teško je ignorirati.

Ovo nije izolirana napetost. Velike institucije često imaju složenu, zastarjelu IT infrastrukturu, raširene odnose s dobavljačima i podatke o radnoj snazi raspršene na desetke međusobno povezanih sustava. Te strukturne stvarnosti stvaraju napadne površine koje je doista teško upravljati, bez obzira na to koliko snažne bile deklarirane obveze organizacije prema privatnosti. Povreda pokazuje da se dobre političke namjere ne pretvaraju automatski u dobru operativnu sigurnost.

Za pogođene zaposlenike posljedice su neposredne i osobne. Svatko čiji su platni listić ili životopis bili među više od 429 000 datoteka sada se suočava s potencijalnom izloženošću financijskih detalja i identifikacijskih dokumenata. Prodaja institucionalnih HR podataka na dark webu, poput one viđene u oglasu za podatke korisnika Iliad Italia, obično brzo slijedi nakon povreda, dajući kriminalcima spremno tržište za ukradene zapise.

Kako se pojedinci mogu zaštititi kada institucije zakažu

Kada poslodavac ili institucija bude probijena, pogođeni pojedinci imaju ograničenu kontrolu nad time što je uzeto. No postoje konkretni koraci koje možete poduzeti kako biste ograničili daljnju izloženost.

Pomno pratite svoje financijske račune. Podaci o banci vidljivi na platnim listićima mogu se iskoristiti za izravnu prijevaru. Postavite upozorenja za neobične transakcije i razmislite je li privremeno zamrzavanje kreditnih upita primjereno u vašoj jurisdikciji.

Budite oprezni na spear-phishing pokušaje. Napadači koji imaju vaš životopis i platni listić znaju tko vam je poslodavac, u kojem ste platnom razredu i koja vam je radna pozicija. Mogu sastaviti vrlo uvjerljive lažne e-poruke koristeći taj kontekst. Prema neočekivanim porukama koje traže radnje ili vjerodajnice odnesite se s dodatnim skepticizmom, čak i ako izgledaju kao da dolaze od kolega ili iz HR-a.

Koristite VPN na javnim i dijeljenim mrežama. Iako VPN ne sprječava povredu na serverskoj strani, štiti vaš promet od presretanja kada daljinski pristupate portalima poslodavca ili osjetljivim računima, smanjujući jedan vektor krađe vjerodajnica.

Provjerite pojavljuju li se vaši podaci u bazama povreda. Usluge koje prate poznate skupove podataka iz povreda mogu vas upozoriti ako se vaša e-pošta ili drugi identifikatori pojave u novim objavljenim skupovima.

Zatražite jasnoću od svog poslodavca. Ako ste zaposlenik Vijeća Europe ili vanjski suradnik, inzistirajte na konkretnoj komunikaciji o tome koje su evidencije pogođene i koje se mjere sanacije nude.

Ovakve institucionalne povrede podsjećaju da je higijena osobnih podataka najvažnija upravo onda kada organizacije koje drže vaše podatke ne uspiju ih zaštititi. Provjera vlastite izloženosti, osiguravanje računa i oprez prema društvenom inženjeringu nisu neobavezni dodaci; oni su temeljni odgovor kada podaci koje niste predali kriminalcima ipak završe u njihovim rukama.

Eskalirajući napadi ShinyHuntersa na europske institucije sugeriraju da ova grupa ne usporava. Informiranje i poduzimanje proaktivnih koraka u vezi s vlastitom digitalnom sigurnošću najučinkovitiji je odgovor dostupan pojedincima koji se nađu u unakrsnoj vatri.