Sajber bezbednost na prekretnici: Detaljna analiza navodnog curenja 72 miliona zapisa srpskih telekomunikacionih operatera

Incident koji menja regionalnu paradigmu bezbednosti

U ranim jutarnjim časovima 19. maja 2026. godine, specijalizovana platforma za praćenje pretnji na mračnom internetu (Dark Web), DailyDarkWeb, objavila je alarmantno upozorenje koje je momentalno podiglo nivo pripravnosti u bezbednosnim strukturama i IT zajednici širom Zapadnog Balkana. Prema zvaničnom izveštaju, neidentifikovani akter pretnje (threat actor) oglasio je na prodaju masivnu bazu podataka koja navodno sadrži 72 miliona zapisa (records) direktno povezanih sa vodećim telekomunikacionim operaterima koji posluju na teritoriji Republike Srbije.

Brojka od 72 miliona zapisa na prvi pogled deluje disproporcionalno u odnosu na zvaničnu populaciju Srbije, što je odmah izazvalo talas spekulacija, ali i opravdanog profesionalnog skepticism među bezbednosnim analitičarima. Međutim, u kontekstu modernih sajber napada i strukture relacionih baza podataka u telekomunikacionom sektoru, ova cifra ne predstavlja broj jedinstvenih fizičkih lica, već implicira sistemsko curenje transakcionih metapodataka, istorijskih zapisa o pozivima (CDRs), registara IP adresa, ili pak višegodišnje akumulacije korisničkih profila.

Ovaj incident dolazi u izuzetno osetljivom trenutku, svega dva meseca nakon što je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije pokrenuo hitan postupak povodom hakerskog napada na Telekom Srbija a.d. u martu 2026. godine. Ponavljanje i eskalacija napada na telekomunikacioni sektor ukazuju na koordinisanu kampanju ciljanja kritične nacionalne infrastrukture.

1. STRUKTURALNA ANALIZA PODATAKA: Šta zapravo znači “72 miliona zapisa”?

Da bi se razumela realna opasnost i validnost ove pretnje, neophodno je dekonstruisati pojam “zapis” (record) u telekomunikacionim sistemima. Telekomunikacione kompanije ne skladište samo osnovne podatke o korisnicima (ime, prezime, JMBG, adresa). Njihove baze podataka su masivni, distribuirani sistemi koji u realnom vremenu beleže milione operacija dnevno.

Stručnjaci za mrežnu forenziku procenjuju da se ponuđena baza od 72 miliona zapisa verovatno sastoji iz jedne od sledećih komponenti, ili njihove kombinacije:

A. Metapodaci komunikacije (Call Detail Records – CDR)

Svaki put kada korisnik uputi poziv, pošalje SMS ili ostvari internet sesiju, generiše se CDR zapis. Ovaj zapis sadrži:

Izvorišni i odredišni broj (MSISDN)

Jedinstvene identifikatore uređaja (IMEI i IMSI)

Geolokacijske podatke u momentu uspostavljanja veze (ID bazne stanice)

Trajanje i tačno vreme sesije

Ako je reč o CDR podacima, 72 miliona zapisa može pokrivati aktivnosti relativno male grupe korisnika (npr. nekoliko desetina hiljada) tokom dužeg vremenskog perioda, ili masovniji presek saobraćaja tokom nekoliko kritičnih dana.

B. Istorijski registri korisnika i “Zombi” nalozi

S obzirom na to da operateri imaju zakonsku obavezu čuvanja podataka u određenom vremenskom periodu, baza može sadržati istorijske podatke bivših i sadašnjih korisnika (kako pripejd tako i postpejd segmenta) prikupljane tokom poslednjih 10 do 15 godina. Fluktuacija korisnika, višestruke SIM kartice po glavi stanovnika i migracije između mreža objašnjavaju kako baza za zemlju od oko 6,5 miliona stanovnika može dostići 72 miliona redova u tabeli.

C. Logovi autentifikacije i DHCP zakupi

Ukoliko su napadači kompromitovali RADIUS ili DHCP servere operatera, baza može sadržati logove dodeljivanja IP adresa korisnicima kablovskog i mobilnog interneta. Ovi podaci su ključni za mapiranje digitalnog identiteta i mogu se koristiti za napredne oblike ciljanog praćenja.

2. ANATOMIJA ATRAKTIVNOSTI TELEKOMUNIKACIONOG SEKTORA ZA HAKERE

Zašto su telekomunikacione kompanije u Srbiji i svetu primarna meta napada u 2026. godini? Telekomunikacije predstavljaju “nervni sistem” svake moderne države. Uspešan upad u ove sisteme napadačima donosi višestruku korist:

Monetizacija putem ucenjivanja (Ransomware & Double Extortion): Operateri imaju ogroman finansijski obrt i ekstremno visok prag osetljivosti na prekid rada. Pretnja javnim objavljivanjem podataka (poput ove kojoj svedočimo) koristi se kao poluga za iznuđivanje višemilionskih iznosa u kriptovalutama.

Geopolitička špijunaža: Državno sponzorisane hakerske grupe (Advanced Persistent Threats – APT) često ciljaju telekomunikacionu infrastrukturu kako bi presretale komunikaciju specifičnih meta od političkog, vojnog ili ekonomskog značaja.

Kreiranje podloga za sekundarne napadačke kampanje: Podaci izvučeni iz telekom baze (brojevi telefona, imena, email adrese) savršen su materijal za automatizovane, visoko uverljive phishing i smishing (SMS phishing) napade pokretane veštačkom inteligencijom, koji prema zvaničnim izveštajima evropskih agencija za bezbednost čine preko 80% svih uspešnih inicijalnih vektora kompromitacije.

3. VEZA SA PRETHODNIM INCIDENTIMA: Hronologija ranjivosti u 2026. godini

Ovaj najnoviji incident ne sme se posmatrati izolovano. Ako mapiramo hronologiju sajber incidenata u Srbiji tokom tekuće godine, uočavamo jasan trend eskalacije:

Sredina marta 2026: Kancelarija Poverenika za informacije od javnog značaja zvanično otvara istragu protiv Telekom Srbija a.d. nakon potvrde o hakerskom napadu koji je ugrozio sisteme jedne od njihovih specifičnih usluga. Državni organi su tada ušli u intenzivnu komunikaciju sa menadžmentom kako bi se utvrdio tačan obim kompromitacije personalnih podataka.

April 2026: Regionalni bezbednosni forumi beleže pojačanu aktivnost skeniranja ranjivosti na spoljnim interfejsima i API portalima telekomunikacionih kompanija na Balkanu.

19. maj 2026: Objava DailyDarkWeb-a o prodaji baze od 72 miliona zapisa.

Analitičari opravdano postavljaju pitanje: Da li je baza koja je danas stavljena na prodaju zapravo rezultat akumulacije podataka iz martovskog napada, ili svedočimo potpuno novom, znatno destruktivnijem upadu koji je obuhvatio više operatera istovremeno (tzv. “Supply Chain” ili “Third-Party” napad)? Prema analizi globalnih trendova za 2025/2026. godinu, zabeležen je drastičan porast napada preko trećih lica (third-party vendors). Telekomunikacioni operateri često angažuju eksterne partnere za sisteme naplate, korisničku podršku (call centre) ili održavanje softverskih platformi. Ako bezbednosni nivo tog partnera nije adekvatan, napadač preko njega može ostvariti pristup centralnim bazama podataka operatera.

4. TEHNIČKO-TEHNOLOŠKI VEKTORI UPADA: Kako dolazi do ovakvih curenja?

U odsustvu zvaničnog forenzičkog izveštaja (koji obično traje nedeljama ili mesecima), na osnovu uobičajenih TTP (Tehnike, Taktike i Procedure) koje hakerske grupe primenjuju u 2026. godini, možemo identifikovati tri potencijalna vektora napada:

Vektor 1: Eksploatacija ranjivosti u mrežnim servisima (Reverse Proxy i Gateway sistemi)

Svedoci smo da su softverska rešenja za upravljanje mrežama i reverse proxy serveri (poput tekućih ranjivosti vezanih za Nginx i slične sisteme) stalna meta. Ako zakrpe (patches) nisu pravovremeno primenjene na spoljnim serverima operatera, napadači mogu iskoristiti RCE (Remote Code Execution) za inicijalni proboj u DMZ (Demilitarizovanu zonu) mreže, a odatle vršiti lateralno kretanje ka bazama podataka.

Vektor 2: Kompromitacija kredencijala i sesija (Session Hijacking via Infostealers)

Izveštaji vodećih svetskih kuća za sajber bezbednost, kao što je Group-IB (koja je nedavno u saradnji sa INTERPOL-om sprovela operaciju Ramz protiv infrastrukture za krađu identiteta), pokazuju da su Infostealer malveri postali primarni metod za prikupljanje administratorskih kredencijala. Dovoljno je da jedan zaposleni kod operatera ili eksternog provajdera bude žrtva phishinga, pa da napadači dobiju legitimne VPN pristupne podatke sa privilegovanim pravima.

Vektor 3: Nesigurne API integracije (BOLA i Broken Authentication)

Moderni telekomunikacioni operateri se oslanjaju na hiljade API-ja (Application Programming Interfaces) kako bi povezali mobilne aplikacije, portale za plaćanje i partnerske sisteme sa backend bazama. Ako API nema implementiranu rigoroznu kontrolu pristupa i “rate limiting” (ograničenje broja upita), napadači mogu automatizovanim skriptama “izvući” (scrape-ovati) milione zapisa bez podizanja klasičnih alarma za upad.

5. RIZICI I IMPLIKACIJE ZA KORPORATIVNI SEKTOR I GRAĐANE

Ukoliko se autentičnost baze od 72 miliona zapisa potvrdi, posledice će se osećati godinama kroz različite slojeve društva i ekonomije.

Implikacije po građane (Korisnike usluga):

Talas sofisticiranih prevara: Napadači mogu koristiti podatke za personalizovane napade. Na primer, slanje SMS poruke koja izgleda kao zvanično obaveštenje operatera o dugu, sa linkom koji vodi do lažne stranice za plaćanje gde se kradu podaci sa platnih kartica.

Socijalni inženjering: Sa uvidom u istoriju komunikacije ili lične podatke, kriminalci mogu lakše manipulisati žrtvama telefonskim pozivima (vishing), predstavljajući se kao bankarski službenici, policija ili tehnička podrška.

Ugrožavanje privatnosti lokacije: Ako baza sadrži istorijske podatke o baznim stanicama, ugrožena je fizička privatnost pojedinih kategorija građana (biznismeni, novinari, javne ličnosti).

Implikacije po korporativni sektor i operatere:

Finansijske kazne i regulatorni pritisak: Prema Zakonu o zaštiti podataka o ličnosti (ZZPL) koji je usklađen sa evropskom GDPR regulativom, kompanije koje ne obezbede adekvatne mere zaštite suočavaju se sa drakonskim kaznama koje mogu iznositi i do nekoliko procenata ukupnog godišnjeg prometa kompanije.

Trajni gubitak reputacije i odliv korisnika (Churn): Na visoko konkurentnom tržištu telekomunikacija u Srbiji, bezbednost podataka postaje ključni diferencijator. Gubitak poverenja direktno utiče na pad vrednosti brenda i prelazak korisnika kod konkurencije.

Operativni troškovi sanacije: Angažovanje eksternih forenzičkih timova, implementacija hitnih bezbednosnih arhitektura, obaveštavanje miliona korisnika i potencijalne sudske tužbe mogu paralisati razvojne budžete operatera na duži rok.

6. STRATEŠKE PREPORUKE ZA SISTEMSKU ODBRANU I UBLAŽAVANJE RIZIKA

Suočavanje sa pretnjom ovog gabarita zahteva hitnu, koordinisanu akciju svih aktera u digitalnom ekosistemu Srbije – od državnih regulatornih tela, preko menadžmenta operatera, pa sve do IT profesionalaca koji upravljaju sistemima.

Za telekomunikacione operatere i provajdere kritične infrastrukture:

Pokretanje momentalne unutrašnje forenzičke istrage: Ne čekati zahteve regulatora. Potrebno je sprovesti duboku analizu logova pristupa bazama podataka (SQL logovi, API gateway logovi) za poslednjih 180 dana kako bi se identifikovali neobični obrasci eksfiltracije podataka (Data Egress).

Uspostavljanje striktnog “Zero Trust” modela arhitekture: Pristup bazama sa ličnim podacima korisnika mora biti maksimalno restraktivan. Svaki upit mora biti verifikovan, a privilegovani nalozi (DBA – Database Administrators) moraju imati obaveznu višefaktorsku autentifikaciju (MFA) zasnovanu na hardverskim ključevima (FIDO2/YubiKey).

Auditorijum i revizija trećih lica (Third-Party Risk Management): Svi eksterni izvođači koji imaju mrežni pristup sistemima operatera moraju proći kroz rigoroznu bezbednosnu proveru. Njihove pristupne sesije moraju biti vremenski ograničene i pod stalnim monitoringom (PAM – Privileged Access Management).

Kriptovanje podataka u mirovanju i tranzitu (Encryption at Rest and in Transit): Korisnički podaci, a naročito osetljivi metapodaci i identifikatori, moraju biti enkriptovani najsavremenijim algoritmima. Čak i u slučaju uspešne eksfiltracije, napadači bi u rukama imali samo neupotrebljiv binarni kod.

Za državne organe i regulatorna tela (RATEL, Poverenik, Nacionalni CERT):

Formiranje zajedničke hitne radne grupe: Neophodna je tesna saradnja između Nacionalnog CERT-a, Ministarstva informisanja i telekomunikacija, i Kancelarije Poverenika, kako bi se centralizovale informacije i izbeglo slanje kontradiktornih poruka javnosti.

Strogo kažnjavanje sistemskog nemara: Podsticanje kompanija na ulaganje u bezbednost kroz transparentno sprovođenje kaznenih odredbi ZZPL-a kada se dokaže da je do curenja došlo usled grubog ignorisanja bezbednosnih standarda.

Podizanje nacionalne svesti o sajber higijeni: Pokretanje medijskih kampanja za edukaciju građana o prepoznavanju phishing i smishing prevara koje će neumitno uslediti kao sekundarna posledica ovog curenja.

ZAKLJUČAK: Poziv na buđenje u digitalnoj eri

Objava o curenju 72 miliona zapisa srpskih telekom operatera na Dark Web-u, bez obzira na to da li će se forenzičkom istragom dokazati puni obim ili delimična preuveličanost tvrdnji aktera pretnje, predstavlja tektonski poremećaj na domaćoj sajber sceni. Ona eksplicitno ogoljava činjenicu da u 2026. godini tradicionalni koncepti odbrane mreže više ne funkcionišu.

Sajber bezbednost više nije samo tehničko pitanje prepušteno IT odeljenjima; ona je postala esencijalni stub nacionalne bezbednosti i korporativnog opstanka. Odgovor na ovaj incident definisaće nivo poverenja građana u digitalnu transformaciju i sposobnost sistema da zaštiti svoje najvrednije resurse u digitalnom dobu.

Izvori informacija:

Dark Web monitoring alert via @DailyDarkWeb (X platform, 19. maj 2026.)

Zvanična saopštenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti RS (Mart 2026.)

ENISA Threat Landscape Report (Izveštaj o pretnjama Evropske agencije za sajber bezbednost)

Obaveštajni podaci o pretnjama (Threat Intelligence) iz globalnih operacija suzbijanja sajber kriminala (INTERPOL / Group-IB, 2026.)