Přes 4,6 milionu požadavků zasáhlo aplikaci SLAVIA v okamžiku, kdy tisíce fanoušků spustily nákup permanentek na novou sezonu. Prodej stál během minut.
Stávající permanentkáři Slavie klikali na tlačítko nákupu, systém stihl zpracovat desítky prvních objednávek, a pak se aplikace zhroutila. Na databázi spojenou s klubovou aplikací dopadla lavina více než 4,6 milionu požadavků, což podle Slavie představuje nárůst o 9 000 % oproti předchozím sezonám. Ticketportal i klub shodně mluví o koordinovaném externím útoku. Ticketportal zároveň zdůraznil, že jeho vlastní platforma výpadek nezaznamenala, cílem byla výhradně aplikace SLAVIA. Případ putuje k orgánům činným v trestním řízení.
Co přesně se stalo a co zatím ne
Potvrzené je jedno: útok mířil na dostupnost služby. Popsaný mechanismus, zahlcení databáze miliony požadavků přesně ve chvíli maximální fanouškovské poptávky, odpovídá aplikačnímu DDoS útoku. Žádný ransomware – škodlivý software, který zašifruje data a požaduje výkupné – žádná veřejně známá phishingová kampaň, tedy podvodné e-maily či stránky lákající uživatele k zadání přihlašovacích údajů.
Co potvrzené není: únik osobních dat. Oficiální článek Slavie ani prohlášení Ticketportalu k 15. červenci 2026 neuvádějí, že by došlo k exfiltraci konkrétní databáze fanoušků. Probíhá interní šetření a do jeho ukončení zůstává otázka úniku otevřená. Pachatel veřejně označen nebyl, nikdo se k útoku nepřihlásil a motiv zůstává neznámý, byť načasování přesně na start prodeje ukazuje spíš na záměr maximalizovat provozní chaos než na náhodu.
Jaká data aplikace uchovává
I bez potvrzeného úniku stojí za to vědět, s čím aplikace SLAVIA pracuje. Podle dokumentace ke zpracování osobních údajů jde minimálně o:
- jméno, příjmení, e-mail, heslo v hashované podobě, datum narození, stát pobytu,
- nepovinné údaje: fotografie účtu, oblíbený hráč, velikost dresu a kopaček, přiřazené sedadlo,
- technické identifikátory: IP adresa, identifikátor zařízení, záznamy aktivity v aplikaci.
Při validaci permanentky klub ověřuje jméno, příjmení a datum narození oproti dokladu totožnosti, samotný průkaz se ale podle obchodních podmínek neuchovává ani dále nezpracovává. Důležitý detail: údaje zadané při samotném nákupu (platební karta, fakturační adresa) zpracovává Ticketportal na své stránce, v aplikaci uložené nejsou. To oslabuje scénář přímého zásahu do platebních údajů přes napadenou aplikační vrstvu, ale bez výsledku šetření ho nelze definitivně vyloučit.
Nový harmonogram a co dělat teď
Prodej permanentek na sezonu 2026/27 nebyl zrušen, jen odložen. Slavia zveřejnila konkrétní termíny:
| Skupina | Termín | Čas |
|---|---|---|
| Stávající permanentkáři | 22. 7. – 29. 7. 2026 | 14:00 – 20:00 |
| Čekací listina 1.–300. | 6. – 7. 8. 2026 | dle pokynů |
| Čekací listina 301.–600. | 8. – 9. 8. 2026 | dle pokynů |
| Čekací listina 601.–900. | 10. – 11. 8. 2026 | dle pokynů |
Volný prodej se neplánoval ani před útokem, permanentky byly vyhrazeny výhradně stávajícím držitelům a fanouškům na čekací listině. Kdo nákup stihl dokončit před kolapsem a v aplikaci vidí zakoupenou permanentku, pokračuje validací. Kdo měl objednávku rozdělanou, musí počkat na obnovení prodeje.
Klub zatím nevydal konkrétní bezpečnostní instrukce pro uživatele, žádný seznam kroků typu „změňte heslo, sledujte bankovní výpisy“. Podle standardů, které pro komunikaci při narušení dat uvádí Evropský sbor pro ochranu osobních údajů, by taková zpráva měla obsahovat popis důsledků, přijatá opatření a doporučení pro dotčené osoby. Slavia tuto část zatím veřejně nedoplnila.
Proč je tentokrát sázka vyšší
Od sezony 2026/27 je fyzická permanentková karta jen sběratelský suvenýr bez QR kódu. Vstup na stadion funguje výhradně přes digitální permanentku v aplikaci. Slavia tím přenesla celý ticketing do jednoho digitálního kanálu, a právě ten se stal terčem útoku. Nejde o první kybernetický incident v českém sportu: už v dubnu 2021 čelila Slavia a další fotbalové i hokejové kluby koordinovaným DDoS útokům na své weby. Tehdy šlo ale o veřejné prezentace, ne o transakční systém, na kterém závisí tisíce platících fanoušků.
Počet potenciálně zasažených účtů klub nezveřejnil. Známé je jen to, že permanentkářů s nulovou absencí bylo přes 9 000 a další stovky čekaly na čekací listině. Finanční škoda vyčíslena nebyla.
Co doporučujeme fanouškům
Bez ohledu na to, zda k úniku dat došlo, je rozumné jednat preventivně. Kdo používá stejné heslo jako v aplikaci SLAVIA i jinde, měl by ho změnit. Největší bezprostřední riziko, které z veřejných podkladů vyplývá, není prokázaná ztráta peněz, je to phishing. E-maily, SMS nebo telefonáty vydávající se za Slavii či Ticketportal s výzvou k „opakování platby“ nebo „potvrzení účtu“ mohou přijít v řádu dnů. Jediný důvěryhodný kanál pro informace o permanentkách zůstává oficiální web klubu a samotná aplikace.
Útok na Slavii ukázal, že přesun ticketingu do jedné aplikace je pohodlný, dokud funguje. Teď je na klubu, aby fanouškům řekl nejen kdy si koupí permanentku, ale i co se stalo s jejich daty.
