Cyberatak na platformę dla hoteli. Używano jej w Polsce

Ofiarą działań cyberprzestępców może stać się każdy podmiot: od urzędów państwowych, takich jak opisywany przez nas na łamach CyberDefence24 słowacki kataster, po sklepy internetowe czy przedsiębiorstwa zajmujące się podpisami kwalifikowanymi. W zdecydowanej większości przypadków, po incydencie pojawiają się informacje o wysokości okupu do zapłacenia w celu uniknięcia publikacji danych; eksperci jednogłośnie odradzają jego uiszczanie.

Wyciekły dane z platformy hotelarskiej

W ostatnim czasie kłopoty odnotowała również duża platforma dostarczająca na całym świecie oprogramowanie do zarządzania hotelami. Jak opisuje serwis BleepingComputer, ofiarą ataku padła Otelier – korzystają z niej takie sieci jak Hyatt, Marriott czy Hilton, a także Wyndham. Oprócz ostatniego, wszystkie z wymienionych podmiotów mają swoje placówki w Polsce.

W specjalnym stanowisku platforma potwierdziła, że miał miejsce incydent bezpieczeństwa. Przejęte w wyniku cyberataku konta miały zostać wyłączone, odcinając tym samym dostęp cyberprzestępców do baz organizacji.

„Zatrudniliśmy zespół czołowych cyberekspertów, który pracuje nad analizą kryminalistyczną oraz weryfikuje nasze systemy” – napisano w oświadczeniu otrzymanym przez BleepingComputer.

Od infostealera do terabajtów danych

Szczegóły samego ataku pokazują, jak z pozoru niezależne od siebie elementy mogą w połączeniu dać interesujące rezultaty. 

Wszystko zaczęło się od wykorzystania złośliwego oprogramowania typu infostealer, które pojawiło się na komputerze jednego z pracowników. Zdobyte w ten sposób dane logowania pozwoliły atakująctm na połączenie się z jednym z serwerów firmy.

W nowej lokalizacji natrafiono nie tylko na dane, lecz także na kolejne informacje umożliwiające dostęp do firmowej chmury Amazona. Dzięki takim „skokom”, cyberprzestępcy mieli wykraść w sumie 7,8 terabajtów danych. W dużej części są to dokumenty pochodzące z sieci Marriott, których mają być „miliony”. Mowa o m.in. raportach hotelowych czy plikach z księgowości.

Dane gości hotelowych w sieci. Mogą posłużyć do phishingu

Wśród ujawnionych danych znalazły się również szczegółowe informacje dotyczące gości. Oprócz imion i nazwisk, są to m.in. numery telefonów, adresy zamieszkania czy poczta e-mail. W niektórych przypadkach zidentyfikowano też częściowe dane kart kredytowych. 

Według Have I Been Pwned, łupem sprawców padły szczegóły dotyczące 437 tys. klientów wspomnianych sieci hotelarskich. Choć nie muszą obawiać się o hasła, warto sprawdzić, czy w wycieku nie znalazły się inne ich dane. Istnieje prawdopodobieństwo, że zostaną wykorzystane przez innych cyberprzestępców do ataków phishingowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].