Baza s više od 50.000 ličnih podataka građana Bosne i Hercegovine objavljena je na dark webu početkom juna i predstavljena kao evidencija jedne od institucija bh. entiteta Republika Srpska, Agencije za agrarna plaćanja.
Desetak dana kasnije nadležne institucije još ne mogu potvrditi da su podaci zaista procurili iz njihovog sistema, a prve analize, saznaje Radio Slobodna Evropa, ukazuju da bi moglo biti riječ o kombinaciji informacija prikupljenih iz različitih izvora.
Iza objave podataka stoji hakerska "INF GRUPA", koja, prema nezvaničnim saznanjima Radija Slobodna Evropa djeluje iz Srbije, te je već izvela nekoliko hakerskih napada u Srbiji i Hrvatskoj.
Kako je za RSE potvrdio nezvanični izvor iz Vlade RS-a, koji je imao uvid u objavljenu "bazu", više od 50.000 ličnih podataka praktično su besplatno ponuđeni objavom na dva teško dostupna foruma na "dark webu".
"To je bućkuriš podataka. Tu ima svega. Kriminalci na kriminalnom forumu su rekli 'ovo je government' i 'ovo ti je vezano za Vladu Republike Srpske'. Oni su to napisali, a mi sad to uzimamo kao činjenicu. A tu ima podataka dosta građana i iz entiteta Federacija BiH, ima dosta i iz Brčko distrikta, ima netačnih podataka", naveo je izvor RSE.
Prema njegovim riječima, objava od koje je sve krenulo zasniva se na jednom screenshotu koji je podijeljen masovno i koji ne otkriva dovoljno informacija o stvarnom porijeklu podataka.
Nalog Dark Web Informer na X-u objavio je početkom juna da se na hakerskim forumima dijeli baza podataka povezana s domenom vladars.rs, koju cyber sigurnosni izvori povezuju s grupom "INF GRUPA".
"Dark web" je dio interneta koji nije dostupan putem uobičajenih pretraživača i kojem se pristupa posebnim alatima, a često se koristi za anonimnu komunikaciju i razmjenu podataka.
Nadležne institucije u RS tvrde da trenutno nema dokaza da je došlo do proboja informacionog sistema, dok saznanja ukazuju da bi moglo biti riječ o kombinaciji ličnih podataka građana iz različitih izvora iz cijele BiH.
Prema ocjenama stručnjaka, bez obzira na to odakle potiču, ovakvi podaci, koji uključuju imena, adrese i identifikacione brojeve, mogu biti iskorišteni za zloupotrebe identiteta i druge oblike prevare.
Iz institucija RS nisu odgovorili na upit RSE o tome jesu li oštećeni građani obaviješteni o ovom curenju podataka.
Poljoprivrednici zabrinuti
Poljoprivrednici u RS-u zabrinuti su zbog cijele situacije, kaže Savo Bakajlić, predsjednik Udruženja poljoprivrednih proizvođača sela Semberije i Majevice.
Bakajlić je za RSE rekao da ga još niko nije kontaktirao iz Ministarstva poljoprivrede, a ni iz Agencije za agrarna plaćanja.
Naveo je kako je veliki strah među članovima tog Udruženja od moguće zloupotrebe podataka i gubitka novca.
"Zovu mene kao predsjednika Udruženja, pitaju ko ima sredstava na računu, da diže i sklanja. Ljudi žive od toga, prebacuju sredstva od podsticaja. Ovdje treba neko debelo da odgovara ako se utvrdi da je to tačno. U naredna dva do tri dana ćemo kontaktirati nadležno Ministarstvo da dobijemo objašnjenje. Dosta ljudi se prepalo i podiglo sredstva", rekao je Bakajlić.
Iz Ministarstva poljoprivrede RS-a nisu odgovorili na upit RSE o mogućem curenju podataka i ugroženosti korisnika podsticaja.
Šta kažu institucije u Republici Srpskoj
Agencija za agrarna plaćanja Republike Srpske saopštila je 15. juna da, nakon provjere svojih evidencija, nije pronašla bazu podataka koja bi "po strukturi, obimu i sadržaju odgovarala onoj koja se pojavila na dark webu".
Kako navode, takva zbirka podataka "ne može biti generisana" iz njihovog informacionog sistema u formi u kojoj je prikazana, a kao dodatni indikator ističu i odstupanje u broju korisnika, oko 51.000 zapisa u objavljenoj bazi u odnosu na približno 45.000 korisnika u njihovim registrima.
Istog dana i premijer Republike Srpske Savo Minić rekao je da u ovom trenutku nije potvrđeno da su objavljeni podaci zaista iz sistema Agencije.
Naveo je da su prve informacije ukazivale da se ne radi o njihovim evidencijama, ali da se provjere i dalje provode, te da je Agencija stavljena pod poseban režim kontrole kako bi se utvrdilo šta se tačno dogodilo i da li je eventualno došlo do proboja sistema.
Iz Odjeljenja za računalno-bezbjednosne incidente (CERT RS)
entitetske Agencije za informaciono-komunikacione tehnologije za RSE poručuju da je "prerano donositi zaključke o prirodi incidenta, dok su sve provjere u toku".
Ističu da se konačna ocjena da li je riječ o hakerskom napadu, neovlaštenom pristupu ili drugom obliku curenja podataka, može dati tek nakon završetka tehničkih i istražnih procedura.
Napominju da objava i osnovnih ličnih podataka predstavlja određeni sigurnosni rizik za građane, posebno u kontekstu mogućih prevara i zloupotrebe identiteta.
Ministarstvo unutrašnjih poslova Republike Srpske nije dostavilo dodatne odgovore na upit Radija Slobodna Evropa, već je proslijedilo ranije zvanično saopštenje u kojem se navodi da policija, zajedno sa Agencijom za informaciono-komunikacione tehnologije RS, preduzima mjere i radnje na utvrđivanju svih činjenica u vezi s objavom podataka.
Šta je poznato o 'INF GRUPI' i njihovim ranijim napadima u regionu?
Informacije o "INF GRUPI" počele su se pojavljivati u javnosti krajem maja 2026. godine nakon niza incidenata u zemljama regiona, prije svega u Hrvatskoj i Srbiji.
U više slučajeva ista grupa preuzela je odgovornost za napade ili se njihovo ime pojavilo u objavama na forumima na dark webu.
I dalje nije otkriveno ko stoji iza ove hakerske grupe.
Jedan od prvih zabilježenih incidenata dogodio se krajem maja 2026. u Hrvatskoj, kada je hakirana web stranica Ministarstva rada, mirovinskog sistema, porodice i socijalne politike.
Tokom tog napada, stranica je bila privremeno preuzeta, a na njoj su ostavljene poruke nacionalističkog u uvredljivog sadržaja. Na stranici je bila objavljena i poruka "Smrt ustašama, živela Velika Srbija".
Uz poruku su, prema objavama medija, bili prikazivani i dodatni vizualni elementi, uključujući animacije i link na Telegram kanal grupe, što ukazuje na pokušaj da se napad iskoristi za javni i propagandni efekt.
U istom kontekstu pojavile su se i tvrdnje na dark web forumima da je kompromitovana baza podataka ovog Ministarstva, sa procjenama da je riječ o desetinama hiljada zapisa građana, iako obim i izvor tih podataka nisu službeno potvrđeni.
Iz Agencije za podršku informacijskim sustavima i informacijskim tehnologijama (APIS IT) Hrvatske naveli su za RSE da ne mogu komentarisati pojedinačne sigurnosne incidente niti iznositi procjene o mogućim počiniocima ili povezanosti različitih napada.
Uputili su na Zavod za sigurnost informacijskih sustava (ZSIS) kao nadležno tijelo za oblast kibernetičke sigurnosti, ali odgovor od te institucije do objave teksta nije stigao.
U isto vrijeme kada je izveden napad na hrvatsko ministarstvo, incidenti povezani s istim imenom zabilježeni su i u Beogradu, gdje su na displejima u javnom gradskom prevozu prikazivane kratke poruke političkog i socijalnog karaktera.
Prema dostupnim informacijama, na ekranima autobusa pojavljivali su se natpisi "Slava Vučiću" i "Povećajte vozačima satnicu".
Ovaj slučaj ukazuje da mete napada nisu bili isključivo informacioni sistemi i baze podataka, već i sistemi za javno informisanje građana.
Nekoliko dana kasnije, ime "INF GRUPA" pojavilo se i u vezi s navodnim curenjem baze podataka Fudbalskog kluba Dinamo iz Zagreba, gdje je na forumima objavljeno da je kompromitovano oko 50.000 korisničkih zapisa, uključujući lične podatke poput imena, kontakata i drugih informacija.
U tim objavama navedeno je da su podaci distribuirani besplatno na dark webu, bez zahtjeva za otkupom.
Osim toga, u Hrvatskoj su zabilježeni i slučajevi koji uključuju zdravstveni sektor, konkretno domove zdravlja u Istri, gdje su se pojavile informacije o mogućem curenju podataka.
Nakon tih navoda reagovala je Agencija za zaštitu ličnih podataka (AZOP), koja je pokrenula nadzor kako bi se utvrdilo da li je došlo do povrede zaštite ličnih podataka.
U Srbiji se isto ime povezivalo s incidentima koji uključuju institucije poput Fudbalskog saveza Srbije, gdje su mediji izvještavali o navodima da je baza podataka kompromitovana ili ponuđena na prodaju.
Detalji o obimu i autentičnosti tih podataka nisu zvanično potvrđeni, ali se slučaj uklapa u obrazac objava koje prate druge incidente.
Radio Slobodna Evropa zatražio je informacije od Sekretarijata za javni prevoz, Posebnog tužilaštva za visokotehnološki criminal u Beogradu i Ministarstva unutrašnjih poslova Srbije, ali ni iz jedne od tih institucija do sada nije dostavljen odgovor.
Incident koji 'može imati ozbiljne posljedice' za građane
Stručnjak za cyber sigurnost Saša Mrdović za RSE ocjenjuje da slučaj iz RS-a, iako zabrinjavajući, nije neočekivan.
Kako kaže, riječ je o incidentu koji može imati ozbiljne posljedice za građane čiji su podaci objavljeni, ali se uklapa u širi kontekst načina na koji se informacioni sistemi razvijaju.
Prema njegovim riječima, BiH tek ulazi u intenzivniju fazu digitalizacije, što znači da sistemi nisu uvijek jednako zaštićeni.
"Takve stvari se dešavaju i mnogo razvijenijim sistemima, ali to ne znači da ne treba raditi na zaštiti", smatra Mrdović.
On naglašava da potpuna sigurnost ne postoji, ali da postoje osnovne mjere koje mogu značajno smanjiti rizik, kontrola pristupa, sigurni protokoli i adekvatna organizacija sistema.
Posebnu pažnju skreće na moguće posljedice za građane.
Prema njegovim riječima, i osnovni lični podaci, poput imena, adrese i identifikacionog broja, mogu poslužiti kao osnova za zloupotrebe.
To može uključivati lažno predstavljanje, kreiranje identiteta na internetu ili korištenje tuđih podataka u različite svrhe.
Govoreći o motivima, navodi da svi napadi nisu nužno motivisani novcem.
U slučajevima kada nema zahtjeva za otkup, moguće je da se radi o pokušaju privlačenja pažnje ili stvaranja reputacije, ali i o aktivnostima koje imaju druge ciljeve.
Raniji slučajevi hakerskih napada u BiH
Slučaj objave podataka koji se dovodi u vezu s Agencijom za agrarna plaćanja nije prvi incident koji otvara pitanje sigurnosti informacionih sistema u Bosni i Hercegovini.
Jedan od najozbiljnijih zabilježen je u septembru 2022. godine, kada je Parlamentarna skupština Bosne i Hercegovine bila meta cyber napada.
Tada je došlo do blokade glavnog servera, a internet stranica i e-mail sistem institucije danima nisu bili dostupni, što je paralizovalo rad institucije i onemogućilo pristup važnim informacijama.
Napad je trajao duže vrijeme, a vlasti su pokrenule istragu bez javno objavljenih konačnih rezultata. Taj slučaj je tada označen kao upozorenje na ranjivost državnih sistema.
U narednim godinama, prema podacima stručnjaka i sigurnosnih izvještaja, zabilježeni su i napadi na druge institucije.
Tokom 2023. i 2024. godine, hakerski napadi su pogodili integrisani zdravstveni informacioni sistem Republike Srpske i Poresku upravu RS, gdje su se na internet forumima pojavili fragmenti podataka i pristupnih informacija.
Osim toga, kao mete cyber napada spominju se i Savjet ministara BiH, javna preduzeća poput Sarajevogasa, kao i bolnice i fakulteti, što ukazuje da su napadi obuhvatali i državne i javne servise.
Jedan od novijih slučajeva zabilježen je 2024. godine u Sarajevu, kada je potvrđeno hakiranje informacionog sistema Internacionalnog univerziteta u Sarajevu (IUS).
U tom slučaju hakerska grupa je tvrdila da je preuzela podatke iz sistema i navodno tražila otkup od 180.000 dolara za vraćanje pristupa.