Firma má hodnotu 34 miliard dolarů. Tisíce zaměstnanců, bezpečnostní tým, firewally, antivirové systémy, dvoufaktorové ověřování.
A pak zavolá někdo na helpdesk. Řekne jméno kolegy, které si našel na LinkedInu. Vysvětlí, že se nemůže přihlásit. Pracovník helpdesku se snaží být nápomocný — to je koneckonců jeho práce — a resetuje přihlašovací údaje.
Hovor trval přibližně deset minut.
Výsledek? Výpadek systémů na deset dní. Výherní automaty offline. Digitální klíče od pokojů nefungují. Rezervační systémy stojí. Ztráta 100 milionů dolarů za jediné čtvrtletí.
Komunita kyberbezpečnostních expertů po celém světě se v tuto chvíli dělí na dva tábory. Jedni se popadají hrůzou za hlavu, druzí smíchy za břicho.
Jak to začalo: LinkedIn jako zbraň
Září 2023. Skupina hackerů známá jako Scattered Spider si vytipovala cíl — jedno z největších kasinových impérií v Las Vegas.
Jejich příprava nevyžadovala žádný sofistikovaný technický útok. Stačil jim veřejně dostupný LinkedIn. Našli jméno zaměstnance s dostatečnými přístupovými právy. Zjistili jeho pracovní pozici, oddělení, kdo mu je nadřízený.
Pak zavolali na interní IT helpdesk.
Vydávali se za tohoto zaměstnance. Řekli, že se nemohli přihlásit, že potřebují resetovat vícefaktorové ověřování. Pracovník helpdesku — v dobré víře, pod tlakem fronty čekajících požadavků — to udělal. Bez ověření, kdo skutečně volá.
Tím pádem měli útočníci přístup k privilegovanému účtu. Od téhle chvíle byli uvnitř.
To byl zárodek jednoho z nejdražších a nejzávažnějších kybernetických útoků v historii pohostinského průmyslu.
Co se dělo deset dní
Scattered Spider věděli, co dělají. Jakmile získali první přístup, pohybovali se sítí pomalu a systematicky — rozšiřovali oprávnění, mapovali infrastrukturu, hledali nejcennější aktiva. A pak povolali své partnery ze skupiny ALPHV (také známé jako BlackCat) — rusky mluvící ransomwarovou skupinu, která jim zajistila šifrovací nástroje.
11. září 2023 kasino veřejně oznámilo "kybernetický bezpečnostní incident".
Co to v praxi znamenalo pro hosty:
- Výherní automaty zobrazovaly chybové hlášky a odmítaly fungovat
- Digitální klíče od hotelových pokojů přestaly pracovat — personál začal vydávat fyzické klíče
- Online rezervační systémy byly nedostupné, zákazníci se nemohli přihlásit ke svým účtům
- Mobilní aplikace kasina zmizela z provozu
- E-mailové systémy vypadly
Kasino se odmítlo poddat a výkupné nezaplatilo. Na rozdíl od svého konkurenta, který téhož roku zaplatil 15 milionů dolarů. Bylo to správné rozhodnutí, ale přišlo draho: celková ztráta za třetí čtvrtletí 2023 dosáhla 100 milionů dolarů. Z toho přes 84 milionů tvořily ušlé příjmy a dalších 10 milionů stály právní poradenské a technické náklady.
Útočníci mezitím tvrdili, že ukradli 6 terabajtů dat, včetně osobních údajů věrnostního programu — jméno, adresa, číslo řidičského průkazu, v některých případech rodné číslo.
V lednu 2025 kasino souhlasilo s vypořádáním žalob poškozených zákazníků ve výši 45 milionů dolarů.
Kdo za tím stál: partička dvacátníků (a teenagerů)
Scattered Spider není tajná státní kyberjednotka s neomezeným rozpočtem. Jsou to převážně mladí lidé — rodilí angličtí mluvčí z USA a Velké Británie, někteří z nich v době útoků ještě teenageři.
Jeden ze zadržených byl sedmnáctiletý chlapec z Walsallu v Anglii. Devatenáctiletý Remington Ogletree byl zatčen v listopadu 2024.
Jejich silnou zbraní není technická dokonalost — je to dokonalá angličtina, psychologická obratnost a schopnost přesvědčivě hrát roli zaměstnance, který si prostě potřebuje obnovit přístup. Nic víc, nic míň.
Vishing — phishing po telefonu — funguje právě proto, že se opírá o lidskou přirozenost. Helpdesk pracovníci jsou pod tlakem, pomáhají zaměstnancům celý den, a když někdo volá s přesvědčivým příběhem, mozek automaticky aktivuje režim "chci pomoct". Přesně na to útočníci spoléhají.
Proč je tohle NIS2 problém — a váš problém
Tohle kasino bylo velká, bohatá, technologicky vybavená firma. A přesto ji položil jeden desetiminutový telefonát.
Zákon č. 264/2025 Sb. a jeho prováděcí vyhláška 408/2025 Sb. o tom mluví explicitně: organizace jsou povinny zavést systém řízení bezpečnostních incidentů, pravidelné vzdělávání a školení zaměstnanců v oblasti kybernetické bezpečnosti a bezpečné procesy pro správu přístupů a identit.
V praxi to znamená:
1. Helpdesk musí mít proces ověření identity volajícího Reset vícefaktorového ověřování pro privilegovaný účet nesmí proběhnout jen na základě přesvědčivého hlasu. Musí existovat protokol — alternativní ověřovací kanál, eskalace na nadřízeného, zpětné volání na ověřené číslo.
2. Zaměstnanci potřebují pravidelný security awareness trénink Nejen jednou ročně povinné kliknutí na e-learning. Skutečné scénáře, simulované vishingové testy, diskuse o konkrétních útocích. Lidé musí vědět, jak útok vypadá — jinak ho nerozpoznají, ani když ho zažívají.
3. Principem nejmenšího privilegia se šetří budoucí problémy Helpdesk pracovník by neměl mít možnost resetovat MFA pro ty nejprivilegovanější účty bez dalšího schválení. Granularita přístupových práv není paranoia — je to základní hygiena.
4. LinkedIn ≠ ověřená identita Cokoliv, co je veřejně dostupné online, může útočník použít k budování důvěryhodné legendy. Čím více osobních a pracovních informací zaměstnanci sdílejí, tím snazší je sociální inženýrství.
Přitom pojďme být upřímní: helpdesk pracovník, který ten hovor přijal, neudělal nic špatně z pohledu svých tehdy platných instrukcí. Organizace ho nevybavila nástroji a procesy, které by mu pomohly útok odhalit. To je systémový problém, ne individuální selhání.
Caesars vs. MGM: dvě různé chyby, jeden vzor
Zajímavý je souběh: téhož měsíce se stejná skupina pokusila o podobný útok na jiné kasino v Las Vegas. Tam se vedení rozhodlo zaplatit — 15 milionů dolarů výkupného. Incident se téměř neobjevil v médiích, operace pokračovaly bez výpadku.
Cynická kalkulace: platba vyšla levněji než výpadek. Jenže tím organizace signalizovala ostatním skupinám, že tato taktika funguje. A financovala příští útok.
Zákon o kybernetické bezpečnosti 264/2025 Sb. výslovně nestanoví zákaz platit výkupné — ale hlášení takového incidentu je povinné. A z pohledu NIS2: organizace, která platí výkupné namísto zavedení preventivních opatření, svou povinnost náležité péče rozhodně nenaplňuje.
Nepříjemná otázka na závěr
Zavolá zítra někdo vašemu helpdesku a řekne, že je váš IT správce a potřebuje resetovat přístup — co se stane?
Má váš helpdesk k dispozici protokol, jak ověřit identitu volajícího? Nebo se spoléháte na to, že přesvědčivě znějící hlas s správným jménem a pracovní pozicí je dostatečná záruka?
Pokud nevíte — nebo víte, že protokol chybí — tohle je přesně to, s čím může pomoci Kraita Cyber One: identifikovat mezery v procesech správy identit a přístupů, navrhnout opatření odpovídající zákonu 264/2025 Sb. a vyhlášce 408/2025 Sb., a pomoci zavést reálné security awareness programy.
Příště? Jedno heslo. 45 % paliva pro celé americké pobřeží. Šest dní bez benzínu. Colonial Pipeline — útok, který změnil způsob, jakým vlády přemýšlejí o kybernetické bezpečnosti.
Zdroje
- Netwrix: An Overview of the MGM Cyber Attack — netwrix.com
- CSHub: A full timeline of the MGM Resorts cyber attack (2023) — cshub.com
- Wikipedia: Scattered Spider — en.wikipedia.org
- Specops Software: MGM Resorts hack: How attackers hit the jackpot with service desk social engineering — specopssoft.com
- Wing Security: How SaaS Misconfigurations Led to the MGM Resort Breach — wing.security
- VX Underground / Twitter: citát o 10minutovém hovoru (13. 9. 2023)
- Zákon č. 264/2025 Sb., zákon o kybernetické bezpečnosti — zejm. § 22 (bezpečnostní opatření), § 24 (vzdělávání)
- Vyhláška č. 408/2025 Sb., o bezpečnostních opatřeních pro poskytovatele regulovaných služeb