Usługa z której tysiące polskich hoteli korzysta do przyjmowania i zarządzania rezerwacjami została zhackowana. Włamywacze uzyskali dostęp do danych gości hotelowych różnych obiektów obsługiwanych przez system Hotres i do wielu z nich już skierowali fałszywe, ale bardzo wiarygodnie wyglądające wiadomości e-mail mające na celu wyłudzenie pieniędzy.
Zaczęło się od… SQL injection
O problemach poinformował nas Czytelnik, który od strony IT obsługuje jeden z hoteli wykorzystujących system Hotres do zarządzania rezerwacjami:
“Od wczoraj klienci którzy mają rezerwację [w naszym hotelu — dop. red.] otrzymują na whatsapp-ie wiadomości o złożonej rezerwacji z dokładnymi danymi oraz linkiem do płatności co jest próbą wyłudzenia opłaty. Sytuacja nie jest pojedynczym przypadkiem i dostają je również klienci innych hoteli.”
Jak poinformował nas ten sam Czytelnik, firma Hotres najpierw poinformowała hotele o incydencie “naruszenia ochrony danych osobowych w systemie Hotres” o “nieznanej skali” (poniżej treść wiadomości) a później rozesłała uzupełnienie komunikatu, w którym przeczytać możemy, że do kradzieży danych osobowych klientów doszło poprzez… SQL injection. W tym momencie możecie zakrzyknąć “który to rok?!” ale nie będzie to pierwszy raz, kiedy coś wykrzykujecie ze zdumienia. Bowiem w kolejnym zdaniu komunikatu Hotres stwierdził, że ich system jest “dobrze zabezpieczony przed atakami”, ale “atak nastąpił z poziomi konta zalogowanego użytkownika”.
Hotres ustalił, że wykradziono następujące dane osobowe gości obsługiwanych przez nich hoteli i innych obiektów noclegowych:
- Imię i nazwisko,
- adres e-mail,
- numer telefonu,
- daty pobytu,
- kwota pobytu.
Niestety nie wiadomo ile rekordów pobrano. Zwróciliśmy się z tym pytaniem do Hostres i oczekujemy na odpowiedź. Kiedy nadejdzie, zaktualizujemy ten artykuł.
Rezerwowałem nocleg w polskim hotelu — czy moje dane wyciekły?
To dobre pytanie. Jeśli hotel, hostel albo najem krótkoterminowy z usług którego korzystałeś do obsługi rezerwacji używał systemu Hotres, powinieneś założyć najgorsze — że włamywacze mają także Twoje dane. Jak ustalić, czy obiekt używał systemu Hotres? Można przeszukać swoją skrzynkę pocztową pod kątem słowa “hotres” — niektóre z e-maili od obiektu mogą (ale nie muszą!) zawierać nazwę systemu, np. w stopce:
Powyższa metoda nie jest w 100% skuteczna — są obiekty, które korzystają z systemu Hotres, ale w ten sposób się tego nie ustali. Druga opcja to znaleźć nazwę hotelu w sekcji referencje na stronie Hotres. Ale to też nie jest w 100% skuteczna metoda, bo nie ma tam wszystkich “ponad 2000 obiektów korzystających z usług Hotres”.
I tu pora na smutną wiadomość: musisz polegać na uczciwości obiektu i tym, czy podejmie on decyzję, żeby Cię poinformować, że doszło do nieuprawnionego dostępu do Twoich danych osobowych. Spodziewamy się jednak, że nie wszystkie obiekty korzystające z systemu Hotres to zrobią. A sam Hotres też Was nie powiadomi, ponieważ — jak informuje w komunikacie wysłanym do hoteli:
Przypominamy, że jako Administrator Danych mają Państwo obowiązek ocenić ryzyko dla praw i wolności osób, których dane dotyczą. Jeżeli nie otrzymaliście informacji od gości hotelowych o podejrzanych wiadomościach to można domniemywać, że incydent was nie dotyczy. W przypadku stwierdzenia naruszenia należy to zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od momentu otrzymania niniejszej wiadomości.
W naszej opinii takie sformułowanie drugiego zdania w powyższym cytacie daje podstawę do domniemywania, że jego interpretacja nie zostanie w pełni rzetelnie przeprowadzona po stronie mniej technicznie świadomych obiektów noclegowych. Pytanie, czy w takich sytuacjach PUODO nie powinien wymuszać na platformie rozesłania takiej informacji do poszkodowanych, pozostaje otwarte.
Rezerwowałem nocleg w hotelu korzystającym z Hotres — co mi grozi?
Przestępcy mogą (a w zasadzie już to robią) wykorzystać Twój e-mail i numer telefonu do kontaktu z Tobą i podszywając się pod hotel, próbować wymusić dodatkową płatność lub np. przekazanie danych karty płatniczej np. pod pretekstem “gwarancji rezerwacji”. Widzieliśmy tego typu wiadomości kierowane do gości hotelowych.
Dlatego każdy kontakt ze strony hotelu w sprawie Twojego noclegu potwierdź niezależnie z hotelem. Proszą w e-mailu, SMS-ie albo rozmowie telefonicznej żeby podać numer karty albo wykonać jakąś (dodatkową) płatność? Nie rób tego. Sam zadzwoń do obiektu i ustal, czy kontakt faktycznie wyszedł od ich pracownika.
Rezerwuje noclegi w hotelach — co robić, jak żyć?
Dane z systemów hotelowych wyciekają regularnie, są też wynoszone przez nieuczciwych pracowników recepcji. Dlatego rezerwując nocleg korzystaj z jednorazowego adresu e-mail wygenerowanego tylko na tę okazję (lub odpowiedniego aliasu) oraz podawaj jak najmniej danych. Nie musisz podać numeru telefonu? Nie podawaj go.
Warto też przypomnieć, że w trakcie zakładania rezerwacji online, nie musisz wpisywać pełnego nazwiska, a podczas check-inu, jeśli zostaniesz poproszony o dokument, to bez problemu przejdą inne dokumenty niż paszport czy dowód osobisty (miej świadomość, że spisanie z nich numeru dokumentu w sytuacji wycieku danych spowoduje, że wycieknie unikatowy numer który Cię identyfikuje). W wielu miejscach wystarczy sama karta płatnicza — ale zachęcamy Cię do poćwiczenia socjotechniki i znalezienia argumentu na meldunek bez żadnego dokumentu — albowiem da się 😉
To dobre miejsce aby polecić 22 odcinek naszego podcastu pt. “na co uważać podczas wakacyjnych wyjazdów”:
A jeszcze lepsze, aby zachęcić Cię do sprawdzenia, czy Twoje dane osobowe już wyciekły i są dostępne w różnych darknetowych miejscach — oraz jak je przed kolejnymi wyciekami zabezpieczyć. Jak to zrobić? To pokazujemy w godzinnym video-poradniku pt.




