Ne treba probiti vatrozid, pisati zlonamjerni kod ili provaliti kroz šifrirane sustave da bi se srušila jedna od najvećih hotelsko-kockarničkih kompanija na svijetu. Treba samo netko tko će nazvati help desk, zvučati dovoljno uvjerljivo i reći pravu rečenicu u pravom trenutku. Točno to se dogodilo MGM Resortsu — deset minuta telefonskog poziva pretvorilo se u jedan od najskupljih sigurnosnih propusta u povijesti industrije zabave.
Napad koji nije trebao nikakav kod
Skupina napadača poznata kao Scattered Spider nije probijala sustave silom. Pronašli su javno dostupne podatke o zaposleniku MGM-a na LinkedInu, nazvali IT help desk, predstavili se kao taj zaposlenik i zatražili resetiranje pristupnih podataka jer su navodno "zaključani" iz sustava. Djelatnik help deska, uvjeren da razgovara sa stvarnim kolegom, ispunio je zahtjev. Tim jednim potezom, napadači su dobili pristup koji im je trebao za sve što je uslijedilo.
Domino efekt koji je zaustavio cijeli lanac hotela
Posljedice su bile nesrazmjerno velike u odnosu na jednostavnost samog upada. Sustavi za izdavanje ključeva soba prestali su raditi, gosti su satima čekali ispred vlastitih soba. Kockarski automati u kasinima diljem Las Vegasa ugašeni su. Sustavi za rezervacije, plaćanje i upravljanje restoranima bili su onesposobljeni danima. Zaposlenici su se vraćali papirnatim evidencijama i ručnom obradom transakcija — tehnologija iz devedesetih odjednom je postala jedini način da posao uopće funkcionira.
Konačni račun
Sam incident iz 2023. koštao je MGM Resorts više od 100 milijuna dolara — kroz izgubljeni prihod od zatvorenih kockarnica i hotela, troškove sanacije sustava, angažman vanjskih sigurnosnih stručnjaka i pravne troškove. To se time nije završilo: početkom 2025. tvrtka se nagodila u tužbama povezanim s dva vala curenja podataka (2019. i 2023.) za dodatnih 45 milijuna dolara, nakon što je utvrđeno da je incident pogodio više od 37 milijuna gostiju čiji su osobni podaci bili izloženi.
Zašto se ovo nije moglo spriječiti vatrozidom
Ono što ovaj slučaj čini toliko poučnim jest da nikakva količina tehničke zaštite ne bi spriječila ono što se dogodilo — jer napad uopće nije ciljao tehnologiju. Ciljao je čovjeka na drugom kraju telefonske linije i njegovu prirodnu želju da pomogne kolegi u nevolji. To je srž socijalnog inženjeringa: napadač ne probija sustav, nego uvjerava osobu s ovlaštenim pristupom da mu sama otvori vrata.
Help deskovi su posebno ranjiva točka jer je njihova osnovna funkcija upravo brzo rješavanje problema pristupa — a brzina i temeljita provjera identiteta često stoje u međusobnoj napetosti. Zaposlenik pod pritiskom da riješi "hitan" slučaj nema uvijek vremena ili alata da posumnja u priču koja zvuči uvjerljivo.
Što tvrtke danas rade drugačije
Nakon ovakvih incidenata, industrija je počela uvoditi dodatne korake provjere identiteta za osjetljive zahtjeve poput resetiranja lozinke — video pozive uz zaposlenika kojeg svi prepoznaju, dodatna sigurnosna pitanja koja nisu javno dostupna, ili obveznu potvrdu od strane izravnog nadređenog prije nego što se bilo kakav pristup promijeni. Neke tvrtke uvode i obavezno kašnjenje od nekoliko sati za promjene visokog rizika, čime se napadaču oduzima prednost trenutka i daje vremena da se sumnjiva aktivnost primijeti.
Pouka koja se ne tiče samo velikih tvrtki
Najskuplji sigurnosni propusti sve rjeđe dolaze od genijalnih hakera koji probijaju šifre — sve češće dolaze od jednog uvjerljivog telefonskog poziva upućenog pravoj osobi u pravom trenutku. Tehnologija može biti savršeno zaštićena, a tvrtka i dalje ranjiva, jer je najslabija karika gotovo uvijek čovjek koji iskreno vjeruje da pomaže.




