Masovno hakiranje Europske komisije: 340 GB podataka i 52.000 e-mailova završilo na dark webu

· Sanja Ledinek

Europska komisija nije poštovala sam zakon o osobnim podacima

Hakiranje sustava European Commission pokazalo se znatno ozbiljnijim nego što se isprva mislilo. Prema najnovijem izvješću sigurnosne službe CERT-EU, napad je pogodio najmanje 30 subjekata unutar Europske unije, a rezultirao je curenjem oko 340 GB podataka i gotovo 52.000 e-mail datoteka koje su kasnije objavljene na dark webu.

Napad kroz kompromitirani open-source alat

Napad, koji je započeo 19. ožujka, pripisan je hakerskoj skupini TeamPCP. Oni su iskoristili kompromitiranu verziju alata Trivy, popularnog open-source skenera ranjivosti koji razvija tvrtka Aqua Security. Upravo široka primjena ovog alata u softverskim projektima omogućila je napadačima učinkovit ulaz u sustav. Kroz zlonamjernu verziju alata napadači su uspjeli doći do AWS pristupnog ključa Europske komisije, čime su dobili administrativni pristup cloud okruženju. Nakon toga su koristili alat TruffleHog za pretraživanje dodatnih osjetljivih podataka i identifikatora unutar sustava. Kako bi ostali neprimijećeni, napadači su generirali nove pristupne ključeve povezane s postojećim korisnicima, čime su se „stopili“ s legitimnim prometom i izbjegli sigurnosne alarme.

Kašnjenje u reakciji i objava podataka

Sigurnosni tim Komisije uočio je sumnjivu aktivnost tek 24. ožujka, odnosno pet dana nakon početnog kompromitiranja. Do 28. ožujka, hakerska skupina ShinyHunters objavila je ukradene podatke na dark webu. Arhiva je sadržavala oko 90 GB komprimiranih podataka, odnosno čak 340 GB u nekomprimiranom obliku.

Opseg štete: tisuće e-mailova i osjetljivi podaci

Prema izvješću, pogođen je 71 korisnik hosting usluge Europa, uključujući 42 interna tijela Komisije i najmanje 29 drugih EU institucija. Među kompromitiranim podacima nalaze se imena, identifikacijski dokumenti, e-mail adrese i sadržaj elektroničke pošte. Od ukupno 51.992 e-mail datoteke, većina su automatizirane poruke, no dio njih sadrži stvarnu komunikaciju korisnika, što povećava rizik od zloupotrebe osobnih podataka. Posebno zabrinjava informacija da su među ukradenim podacima i DKIM ključevi Komisije. Ti ključevi služe za autentifikaciju e-mailova, pa bi napadači mogli slati poruke koje izgledaju potpuno legitimno s domena EU institucija. To otvara vrata sofisticiranim phishing kampanjama usmjerenima na države članice i partnere.

Ironija regulacije i sigurnosnih propusta

Ovaj incident dolazi u osjetljivom trenutku za Europsku komisiju, koja aktivno promovira strože kibernetičke standarde kroz regulative poput NIS2 direktive. Upravo ta pravila zahtijevaju brzo otkrivanje i prijavu incidenata, često unutar 24 sata. U ovom slučaju, Komisiji je trebalo pet dana da detektira napad na vlastite sustave, što otvara ozbiljna pitanja o implementaciji sigurnosnih praksi unutar same institucije. Dodatno zabrinjava činjenica da je ovo drugi značajan sigurnosni incident u kratkom razdoblju, nakon upada u sustav za upravljanje mobilnim uređajima početkom 2026. godine.

Zaključak

Ovaj napad jasno pokazuje koliko su i najveće institucije ranjive, osobito kada se oslanjaju na široko korištene open-source alate bez adekvatne provjere integriteta. U svijetu sve sofisticiranijih kibernetičkih prijetnji, povjerenje u lance opskrbe softverom postaje ključna točka sigurnosti.

Za Europsku komisiju, ali i šire, ovo je ozbiljno upozorenje: donošenje regulativa nije dovoljno ako njihova primjena ne prati iste standarde koje se nameće drugima.

DRUGE NOVOSTI