Nový terč hackerů: Masivně kradou čísla řidičských průkazů. Bezpečnostní experti varují před útoky v Česku
Americká pojišťovna přiznala únik dat téměř sedmi milionů řidičů. České úřady přitom varují, že stejné podvodné techniky už běží i u nás.
Obsah článku
Dne 16. března 2026 někdo cíleně zaútočil na zaměstnance americké pojišťovny AssuranceAmerica. O den později firma zjistila, že útočník získal přístup k interním systémům, a s ním i k záznamům 6 998 886 lidí. Unikla jména, adresy, kontaktní údaje, informace o vozidlech a pojistkách. A především: čísla řidičských průkazů. Podle státních hlášení jde o největší známý letošní únik tohoto typu dat v USA. Firma začala rozesílat oznámení postiženým klientům 10. července 2026. A proč by to mělo zajímat Čechy, říkáte si? Protože techniky, které k útoku vedly, se podle Národního úřadu pro kybernetickou a informační bezpečnost i Úřadu pro ochranu osobních údajů běžně používají i v tuzemsku. A čísla dokladů, včetně řidičských průkazů, jsou pro útočníky stále cennější komoditou.
Proč útočníci loví právě řidičské průkazy
Samotné číslo řidičského průkazu vypadá nevinně. Jenže v kombinaci se jménem, adresou, telefonem a údaji o vozidle z něj vzniká kompletní identitní profil. Útočník s takovým balíkem dokáže:
- Přesvědčivě se vydávat za oběť – sjednat smlouvu, pronajmout auto nebo založit účet u služby vyžadující ověření totožnosti.
- Vést cílený vishing – zavolat s přesnými údaji, které oběť přesvědčí, že mluví s bankou nebo policií.
- Obejít KYC ověření – řada online služeb dnes vyžaduje nahrání dokladu; uniklé číslo v kombinaci s dalšími daty to útočníkům usnadňuje.
Policie ČR výslovně řadí čísla osobních dokladů mezi údaje využitelné pro finanční i kriminální krádež identity. Řidičský průkaz přitom není jen „papír na řízení“, ale slouží jako doplňkový doklad totožnosti například u bank, autopůjčoven i při uzavírání pojistek.
Letošní vlna úniků: nejde o ojedinělý případ
AssuranceAmerica není jediná. V červnu 2026 oznámil texaský úřad Texas Parks and Wildlife Department únik dat více než tří milionů zákazníků, opět včetně čísel řidičských průkazů. Incident u AssuranceAmerica je tedy více než dvojnásobně rozsáhlejší než texaský případ.
Trend má širší kořeny. Weby a aplikace stále častěji vyžadují nahrání identitních dokumentů kvůli ověřování věku nebo totožnosti. Čím více firem kopie dokladů uchovává, tím více cílů útočníci mají. Italský úřad pro ochranu osobních údajů Garante letos upozornil na nárůst úniků kopií dokladů v ubytovacím sektoru a varoval před zbytečným uchováváním těchto dat. Nejde tedy o čistě americkou anomálii, evropské firmy čelí stejnému riziku.
Co se stalo uvnitř AssuranceAmerica
Podle oficiálního oznámení firmy útok cílil na konkrétního zaměstnance. Přesný vektor útoku (zda šlo o phishing, malware nebo jiný způsob) pojišťovna nezveřejnila. Firma uvádí, že po zjištění incidentu odpojila dotčené servery, resetovala hesla, nasadila silnější monitoring a obrátila se na policii. Postiženým nabídla 12 měsíců kreditního monitoringu.
Vedení společnosti, CEO Joe Skruck ani zakladatel Guy Millner na dotazy médií neodpověděli. Veřejně není doloženo, zda útočníci požadovali výkupné, ani zda firma cokoliv zaplatila.
Vzorec útoku přes kompromitovaného zaměstnance přitom není žádná exotika. Úřad pro ochranu osobních údajů ve svých poznatcích z hlášení o narušení zabezpečení popisuje phishing jako jednu z nejčastějších vstupních cest do firemních systémů i v Česku.
České varování: stejné techniky, jiný kontinent
Veřejně potvrzený český únik čísel řidičských průkazů srovnatelného rozsahu se v otevřených zdrojích nepodařilo dohledat. To ale neznamená, že se nás problém netýká. Podvodné scénáře, které na uniklých datech stojí, v tuzemsku už běží naplno.
NÚKIB varuje před podvodnými telefonáty, při nichž se volající vydává za banku, policii nebo jinou důvěryhodnou instituci a tlačí na okamžitý převod peněz. Spoofing, tedy podvržení telefonního čísla tak, aby vypadalo jako číslo vaší banky, je přitom technicky snadno dostupná technika. Když útočník navíc disponuje vašimi osobními údaji z nějakého staršího úniku, hovor zní děsivě věrohodně.
ÚOOÚ zároveň upozorňuje, že velká část tuzemských incidentů začíná právě phishingem zaměřeným na zaměstnance. Stačí jeden klik na podvržený odkaz a útočník může získat přístup k firemním systémům.
Jak se bránit a kam se obrátit
Praktická obrana stojí na několika zásadách:
- Nikdy neprovádějte převod na základě telefonátu, i když volající zná vaše údaje. Zavěste a zavolejte instituci sami na číslo z oficiálních stránek.
- Nereagujte pod tlakem. Urgence je hlavní nástroj podvodníků; „musíte jednat hned“ je varovný signál.
- Sledujte neobvyklou aktivitu – neznámé smlouvy, služby nebo dotazy vedené na vaše jméno.
- Při ztrátě nebo odcizení řidičského průkazu to okamžitě nahlaste obecnímu úřadu obce s rozšířenou působností. Stát výslovně uvádí, že tím předcházíte zneužití údajů.
- Při podezření na krádež identity podejte oznámení na Policii ČR.
- Pokud firma nebo úřad selhaly při ochraně vašich dat, můžete podat stížnost na ÚOOÚ.
Sedm milionů uniklých záznamů za Atlantikem je varování, ne vzdálená kuriozita. Techniky útočníků nerespektují hranice a číslo vašeho řidičského průkazu má v rukou podvodníka stejnou hodnotu v Atlantě jako v Brně.