Korisnici trgovine MANGO u Hrvatskoj primili su e-mail obavijest da je jedna od vanjskih marketinških službi doživjela neovlašteni pristup dijelu osobnih podataka. Kompromitirani su ime, e-mail, broj telefona i poštanski broj. Bankovni podaci, lozinke i identifikacijski dokumenti nisu ugroženi.
- Važna obavijest u vezi s osobnim podacima
Datum: 15. listopada 2025.
U skladu s našom predanošću sigurnosti i privatnosti naših kupaca, MANGO vas želi obavijestiti da je jedna od naših vanjskih marketinških službi doživjela neovlašteni pristup određenim osobnim podacima kupaca... - uvodni je dio e-maila koji je stigao prije 12 dana u večernjim satima na adrese ljubiteljica mode, posebno onih koje često kupuju online na stranicama popularnih brendova, uključujući MANGO.
Što se dogodilo?
Kako iz MANGA navode u e mailu, incident nije utjecao na financijske podatke kupaca, lozinke ni pristupne podatke. Međutim, dio osobnih podataka korištenih u marketinškim kampanjama uključujući ime (prezime nije kompromitirano), državu, poštanski broj, adresu e-pošte i broj telefona mogao je biti izložen neovlaštenom pristupu.
Iako MANGO navodi da infrastruktura i korporativni sustavi nisu ugroženi, te da financijski podaci i lozinke nisu kompromitirani, upravo taj incident pokazuje da zaštita osobnih podataka zahtijeva stalnu pažnju, čak i kod najvećih modnih brendova.
- Izložene informacije ograničene su na osobne podatke za kontakt korištene u marketinškim kampanjama: samo ime (vaše prezime nije kompromitirano), država, poštanski broj, adresa e-pošte i broj telefona. Obavještavamo vas da sve i dalje funkcionira normalno te da Mango infrastruktura i korporativni sustavi nisu ugroženi.
Vaši bankovni podaci, kreditne kartice, osobna iskaznica/putovnica ili pristupni podaci ni lozinke nisu ni u kojim okolnostima kompromitirani - navodi se u mailu.
Čim je tvrtka postala svjesna incidenta, odmah je aktivirala sve sigurnosne protokole i obavijestila nadležna tijela te Agenciju za zaštitu podataka, u skladu s važećim propisima i internim procedurama.
Preporuke AZOP-a
- Ovu obavijest objavljujemo kao mjeru opreza i preporučujemo svim našim korisnicima da obrate pozornost na sve sumnjive komunikacije ili zahtjeve za neuobičajene radnje, bilo putem e-pošte ili telefona.
MANGO vam stavlja na raspolaganje adresu e-pošte naše Službe za korisnike (personaldata@mango.com) i telefonski broj (+34 93 860 24 24) za sva dodatna pitanja te nam je žao zbog svih neugodnosti koje vam je ovaj specifični incident mogao prouzročiti.
Kao i uvijek, želimo vam zahvaliti na ukazanom povjerenju i predanosti našem brendu - stoji u mailu kojeg potpisuje Mango tim.
Portal Dalmacija Danas uputio je upit Agenciji za zaštitu osobnih podataka (AZOP) kako bi razjasnio ozbiljnost incidenta i obaveze tvrtke.
U odgovoru AZOP-a na naš upit ističe se da je, prema članku 33. Opće uredbe o zaštiti podataka (GDPR), voditelj obrade obvezan obavijestiti nadzorno tijelo najkasnije 72 sata nakon saznanja o povredi osobnih podataka osim ako povreda ne predstavlja rizik za prava i slobode pojedinaca.
- Nadalje, sukladno članku 34. u slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka - navodi se u odgovoru.
Budući da je sjedište trgovine MANGO u Španjolskoj, nadležnost za nadzor ima španjolsko nadzorno tijelo.
AZOP je za portal Dalmacija Danas potvrdio da je MANGO ispunio svoju obvezu izvještavanja kupaca i da je riječ o vanjskom izvršitelju obrade koji je imao pristup samo dijelu osobnih podataka, dovoljno da se potencijalno povećaju marketinške poruke, ali ne da se izravno prouzroči financijska šteta.
Što građani trebaju znati i poduzeti?
AZOP upozorava korisnike da budu oprezni: kompromitirani podaci mogu se koristiti u pokušajima phishing napada, putem kojih bi hakeri mogli pokušati dobiti osjetljive podatke poput bankovnih računa i pristupnih lozinki.
- Iz ovog seta podataka nema podataka o bankovnim računima, tako da ne bi trebalo biti izravne štete - navodi AZOP, te dodaje 'da građani trebaju obratiti pozornost na e-mailove i poruke koje traže osobne ili financijske podatke'.
Više informacija o prepoznavanju i zaštiti od phishing napada dostupno je na stranicama AZOP-a ovdje.
Kontaktirali smo i Centar za sigurniji Internet (CSI) kako bi provjerili ozbiljnost incidenta i čitateljima prenijeli preporuke za zaštitu.
Kako provjeriti jesu li podaci kompromitirani i je li obavijest stvarna?
- Građani ne bi smjeli klikati na poveznice (linkove) unutar takve e-mail obavijesti. Najsigurniji način provjere jest da samostalno utipkaju službenu web adresu tvrtke (u ovom slučaju MANGO) u svoj preglednik ili otvore njihovu službenu aplikaciju. Ako je incident stvaran, tvrtka će vjerojatno imati službenu obavijest na svojim stranicama ili unutar korisničkog računa. Iako nije uvijek sveobuhvatan, korisnici mogu provjeriti svoju e-mail adresu na poznatim servisima poput 'Have I Been Pwned?' (https://haveibeenpwned.com/) kako bi vidjeli je li njihova adresa bila dio nekih drugih, javno zabilježenih povreda podataka - navode iz CSI.
Kako nam kazuju iz Centra za sigurniji Internet podaci koji su iscurili (ime, e-mail, telefon, poštanski broj) idealan su 'alat' za prevarante. Glavna opasnost sada nije izravan financijski gubitak, već sofisticirani pokušaji prijevare.
Naglašavaju da čitatelji moraju biti izuzetno oprezni prilikom otvaranja e-mailova.
Ovo su mjere zaštite
- Prevaranti će vjerojatno slati lažne e-mailove koji izgledaju kao da su od tvrtke MANGO, dostavnih službi (DPD, Pošta) ili banaka. Ti e-mailovi mogu tražiti 'potvrdu narudžbe', 'ažuriranje podataka o plaćanju' ili 'plaćanje carine'.
Nikada ne unosite lozinke ili podatke o kreditnoj kartici putem poveznice iz e-maila. Uvijek idite izravno na službenu stranicu.
Budući da su brojevi telefona kompromitirani, čitatelji mogu očekivati povećan broj spam poziva ili SMS poruka. Prevaranti se mogu predstavljati kao služba za korisnike i tražiti "potvrdu identiteta", navođenjem npr. OIB-a, broja kartice ili lozinke.
Budite oprezni sa svim neočekivanim pozivima. Prekinite poziv i, ako ste zabrinuti, sami nazovite službeni broj korisničke podrške tvrtke - odgovaraju na naš upit.
Iz Centra navode sljedeće: ako čitatelji prime sumnjive phishing e-mailove, mogu ih proslijediti Nacionalnom CERT-u na analizu. Ako postanu žrtve stvarne prijevare (tj. ako dođe do financijskog gubitka ili krađe identiteta), slučaj trebaju prijaviti Ministarstvu unutarnjih poslova (MUP).
Postoje li dodatne mjere zaštite za naredno razdoblje?
- Iako MANGO tvrdi da lozinke nisu ugrožene, apsolutno preporučujemo da čitatelji promijene svoju lozinku za MANGO korisnički račun.
Ključno je da nikada ne koriste istu lozinku za različite usluge (npr. istu za MANGO, Facebook i e-mail). Ako jesu, moraju odmah promijeniti lozinke na svim ostalim servisima gdje su koristili istu. Gdje god je moguće (za e-mail, društvene mreže, bankarstvo), korisnici trebaju uključiti dvostupanjsku autentifikaciju. To je najbolja zaštita od neovlaštenog pristupa računu, čak i ako prevarant zna lozinku - stoji u odgovoru Tima CSI.
Kako provjeriti je li obavijest stvarna?
- Ne klikajte na linkove u e-mailu.
- Otvorite službenu web stranicu MANGA ili njihovu aplikaciju.
- Provjerite svoju e-mail adresu na servisima poput Have I Been Pwned.
Mjere zaštite
- Budite oprezni s e-mailovima i pozivima koji traže osobne ili financijske podatke.
- Nikada ne unosite lozinke ili podatke o kreditnoj kartici putem linkova u e-mailu.
- Očekujte povećan broj spam poziva i SMS poruka. Prevaranti se mogu predstavljati kao služba za korisnike i tražiti potvrdu identiteta.
- Ako primite sumnjive e-mailove, pošaljite ih Nacionalnom CERT-u. Ako dođe do financijskog gubitka, prijavite slučaj MUP-u.
Dodatne mjere zaštite
- Promijenite lozinku za MANGO račun.
- Nemojte koristiti istu lozinku za više usluga.
- Uključite dvostupanjsku autentifikaciju gdje je moguće.
ANKETA DALMACIJE DANAS
Nakon što smo objasnili kako zaštititi osobne podatke prilikom online kupovine, zanima nas i vaša navika kupovine.
