Agencija za zaštitu ličnih podataka potvrdila je da su ukradeni lični podaci desetina hiljada turista koji su rezervisali smeštaj u hrvatskim hotelima. Reč je o bezbednosnom incidentu u kompaniji PHOBS, hrvatskoj firmi specijalizovanoj za upravljanje rezervacijama i distribuciju smeštajnih kapaciteta u brojnim hrvatskim hotelima.
Iz pomenute kompanije poslali su primer poruke kakvu su neki korisnici primili putem WhatsApp-a. Građane podsećaju da kompanije od gostiju ne traže dostavljanje lozinki ili podataka o platnim karticama putem takvih poruka. Takođe navode da su odmah preduzeli sve potrebne mere radi zaštite sistema.
"Finansijski podaci klijenata nisu bili obuhvaćeni ovim događajem. Dosadašnjom analizom utvrđeno je da incident nije posledica kompromitovanja baze podataka niti neovlašćenog upada u infrastrukturu sistema.
Slučaj je prijavljen Agenciji za zaštitu ličnih podataka (AZOP). Stručnjaci preduzimaju sve korake u skladu sa propisima, a aktivno sarađujemo sa svim relevantnim učesnicima kako bismo u potpunosti utvrdili okolnosti događaja i obezbedili odgovarajuće postupanje prema svim uključenim stranama“, saopštili su iz kompanije.
Konkurentnost hrvatskog turizma
Ceo slučaj za naš portal komentarisao je stručnjak za zaštitu ličnih podataka Petar Vušković.
„Ovo je takođe pitanje konkurentnosti hrvatskog turizma, jer bez bezbednosti podataka nema ni turizma“, ističe Vušković, dodajući da među gostima vladaju strah i nesigurnost.
„Gosti su zaista uplašeni. Znam, prema mojim klijentima iz hotelskog sektora, da ih gosti zovu i s pravom se pitaju šta je sa njihovim osnovnim podacima.“
Objašnjava da su prevaranti upravo na osnovu podataka o rezervacijama pokušali da ostvare finansijsku korist.
"U phishing porukama hakeri su tražili finansijske podatke, CVC broj, broj kartice i slično, predstavljajući se kao hotel. Dakle, neko je koristio podatke o rezervacijama kako bi izvršio prevaru“, kaže Vušković.
"Ovaj incident potvrđuje da zaštita podataka nije samo regulatorno pitanje, već i pitanje poverenja gostiju, odnosno turističke konkurentnosti. Bez zaštite podataka nema ni konkurentnosti u turizmu. Ovakvi incidenti pokazuju koliko su turistički objekti ranjivi preko svojih obrađivača podataka, odnosno kompanija koje hotelima i drugim turističkim objektima pružaju sisteme za rezervacije. Njihov rizik je ujedno i rizik hotela“, rekao je stručnjak.
On je objasnio da u ovakvim slučajevima Agencija za zaštitu ličnih podataka traži ugovore, kao i informacije o primenjenim tehničkim i organizacionim merama zaštite.
Podaci o rezervacijama
"Bezbednosni incident mora biti prijavljen u roku od 72 sata, nakon čega sledi istraga. Dobra vest je da nisu kompromitovani finansijski podaci (brojevi kartica, CVC kodovi), već samo podaci o rezervacijama (ime i prezime gosta, broj mobilnog telefona, datum dolaska). Podaci o rezervacijama koriste se za fišing prevare pa su gosti dobijali poruke sa linkovima za unos podataka sa kartice. Tu postoji ozbiljan rizik od prevare i finansijske štete.
Čak i ako gosti nisu dobili phishing poruke preko WhatsApp-a, njihovi podaci mogu završiti na dark webu. Hoteli su imali obavezu da obaveste goste o bezbednosnom incidentu i smanje mogućnost prevare. To bi trebalo da radi službenik za zaštitu ličnih podataka u hotelu.“
Vušković ističe i da mnogi turistički objekti još nisu dovoljno usklađeni sa propisima o zaštiti podataka.
"Mnogi hoteli nemaju službenika za zaštitu podataka niti su usklađeni sa GDPR-om. Očekuje se pojačan nadzor nad turističkim sektorom. Agencija može tražiti izjašnjenje hotela uz dostavljanje procedura za postupanje u ovakvim incidentima, evidencije o kategorijama i vrstama ličnih podataka, ugovor sa obrađivačem podataka, na primer PHOBS-om u ovom slučaju, kao i informacije o službeniku za zaštitu podataka, sprovedenim istragama i merama zaštite.“
Visoke kazne
Podseća i da je AZOP i ranije kažnjavao hotelske kompanije zbog kršenja propisa.
"Agencija za zaštitu ličnih podataka već je izricala kazne hotelskim kompanijama u iznosu od nekoliko desetina hiljada evra. U 2026. godini AZOP se nalazi na šestom mestu u Evropskoj uniji po izricanju kazni, sa ukupno 6,7 miliona evra kazni, zbog čega treba biti veoma oprezan.“
Govoreći o posledicama za goste čiji su podaci kompromitovani, Vušković upozorava da je najveći rizik unošenje finansijskih podataka u lažne obrasce.
"Najveća opasnost je da korisnici poveruju poruci i dostave podatke o kartici, nakon čega mogu ostati bez novca. Drugi rizik je da njihovi osnovni podaci završe na dark webu. To znači da ih neko drugi može koristiti za nove phishing poruke ili druge prevare koje se mogu pojaviti i nakon dužeg vremenskog perioda.“
Zbog toga smatra da posledice mogu trajati godinama.
"Drugim rečima, gosti nikada neće biti potpuno mirni jer su njihovi podaci kompromitovani i tu se više ne može mnogo učiniti. Ovo je definitivno ozbiljna šteta za hrvatski turizam“, zaključio je Vušković.
Kurir Biznis/Dnevno.hr
Komentari (0)