Varstvo in varnost osebnih podatkov

OBVESTILO O KRŠITVI VARSTVA OSEBNIH PODATKOV

Sistem za upravljanje rezervacij izvajalca obdelave Phobs d.o.o. – dan seznanitve: 4. 6. 2026

V nadaljevanju obvestil, ki so jih naši gosti že prejeli, želimo na tem mestu zagotoviti dodatne informacije ter pregledno obvestiti vse zainteresirane strani o zadevnem dogodku, in sicer:

NARAVA KRŠITVE VARSTVA OSEBNIH PODATKOV

Kdaj?

Prve prijave gostov, ki so rezervirali nastanitev v objektih Valamar, smo prejeli 4. junija 2026 v jutranjih urah, ko so zaposleni Valamarjevega rezervacijskega centra (VRC) pri obdelavi prejete korespondence zabeležili poizvedbe in sporočila gostov o navedenem dogodku. Ta trenutek hkrati predstavlja čas, ko se je Valamar prvič seznanil z možnim varnostnim incidentom, zaradi katerega je prišlo tudi do kršitve varstva osebnih podatkov. Istega dne je Valamar dodatne informacije o incidentu prejel najprej ustno, nato pa še pisno od družbe PHOBS d.o.o. za informatičke usluge s sedežem v Dubrovniku, Vukovarska 19, OIB: 09221756952 (v nadaljevanju: Phobs).

Kako?

Valamar Riviera kot upravljavec osebnih podatkov oseb, ki so rezervirale nastanitev v objektih Valamar, uporablja sistem za obdelavo rezervacij izvajalca obdelave Phobs na podlagi pogodbe o poslovnem sodelovanju in pogodbe o obdelavi osebnih podatkov. Izvajalec obdelave svojo storitev opravlja za večje število upravljavcev (hotelirjev) in v sistemu obdeluje rezervacije več neodvisnih upravljavcev.

Po obvestilu podjetja Phobs je do incidenta prišlo zaradi kompromitacije uporabniških poverilnic (enega uporabniškega računa, ki ni Valamarjev) ter zlonamerne zlorabe obstoječe funkcionalnosti IT-sistema Phobs s ciljem kraje podatkov o rezervacijah.

Kateri gosti?

V tem trenutku ni mogoče ugotoviti, katere konkretne rezervacije so bile prizadete zaradi incidenta, zato tudi ni znano, na katere goste in na katere podatke se ta nanaša Glede na vsebino prejetih sporočil lahko zgolj domnevamo, da gre za goste, ki so v tem letu rezervirali nastanitev v objektih Valamar.

Kateri podatki?

Od podjetja Phobs smo prejeli informacije o vrstah podatkov, ki bi bili lahko prizadeti zaradi tega incidenta:

• identifikacijski in kontaktni podatki nosilca rezervacije in gostov (ime in priimek, naslov, poštna številka, mesto, država, e-naslov, telefonska številka in številka mobilnega telefona);
• podatki o rezervaciji in namestitvi (rezervacijska koda in vir, nastanitveni objekt, datumi prihoda in odhoda, število nočitev, prehrana, posebne želje, število odraslih in otrok ter imena gostov, navedenih v rezervaciji);
• finančni podatki v zvezi z rezervacijami (valuta, popusti, dodatni stroški in skupni znesek);
• podatki o transakcijah in določeni podatki o plačilnih karticah.

Podatki o plačilnih karticah vključujejo vrsto kartice, zadnje štiri števke številke kartice, datum poteka veljavnosti in ime imetnika kartice. Celotna številka kartice (PAN) in varnostna koda (CVV) nista bili razkriti.

Pomembno je poudariti, da na podlagi razpoložljivih informacij ne obstaja neposredno tveganje za zlorabo kartice iz teh podatkov. Ravno zato, ker napadalci niso imeli dostopa do vseh podatkov o karticah, jih poskušajo pridobiti z lažnimi sporočili (t. i. smishing/phishing), v katerih goste zvabijo, naj kliknejo na lažno povezavo, ki nato zahteva vnos vseh podatkov o plačilni kartici.

VERJETNE POSLEDICE KRŠITVE VARSTVA OSEBNIH PODATKOV

Verjetne posledice so možnost prejemanja lažnih sporočil (t. i. smishing/phishing sporočil), ki se na prvi pogled lahko zdijo verodostojna, s čimer se poveča verjetnost prevare. Poleg tega ni mogoče v celoti izključiti tveganja nepooblaščene uporabe osebnih podatkov, ki morda ni nujno neposredno povezana s prvotnim incidentom.

UKREPI, KI JIH JE UPRAVLJAVEC SPREJEL ALI PREDLAGAL ZA OBRAVNAVANJE KRŠITVE VARSTVA OSEBNIH PODATKOV, PO POTREBI VKLJUČNO Z UKREPI ZA UBLAŽITEV NJENIH MOGOČIH ŠKODLJIVIH UČINKOV.

Valamar je sprejel vrsto ukrepov za zmanjšanje tveganj in zaščito gostov. Poleg individualnih odgovorov na prejete poizvedbe smo gostom s potencialno zajetimi rezervacijami poslali opozorila in obvestila, da bi preprečili in zmanjšali tveganje, da bi nasedli lažnim sporočilom.

Notranji IT oddelek v sodelovanju z zunanjimi IT partnerji izvaja dodatne preglede in analize IT infrastrukture, med katerimi nismo ugotovili nobenih nepravilnosti ali znakov vdora v notranje sisteme podjetja Valamar. Hkrati smo v stalnem stiku z obdelovalcem podatkov in spremljamo ukrepe, ki jih ta izvaja.

Na podlagi informacij, prejetih od obdelovalca, je takoj po zaznavi incidenta sprejel ukrepe za preprečitev nadaljnjega nepooblaščenega dostopa, vključno z identifikacijo ogroženega uporabniškega računa, ponastavitvijo dostopnih podatkov, blokiranjem IP naslovov, s katerih so prihajale zlonamerne zahteve, ter onemogočanjem funkcije izvoza podatkov. Izvedeni so bili dodatni tehnični zaščitni ukrepi, vključno z omejevanjem hitrosti zahtev (rate limiting) zadevnih skriptov in uvedbo dodatnih varnostnih mehanizmov za preverjanje identitete. Hkrati poteka podrobna analiza sistema s ciljem ugotovitve obsega incidenta, v katero so vključeni zunanji strokovnjaki za kibernetsko varnost.