Możliwy wyciek danych gości schroniska w Zakopanem

„Przedstawiciele operatora systemu rezerwacyjnego, zawiadomili nas, że prawdopodobnie doszło do włamania na jeden z ich serwerów, na którym znajdowała się baza z danymi naszych Klientów. W bazie tej znajdowały się także Państwa dane z przyjętych rezerwacji” – przekazało zakopiańskie Schronisko Murowaniec w komunikacie z 12 grudnia br.

Warto przy tym podkreślić, że jeden z klientów zgłosił schronisku podejrzaną wiadomość mailową, gdzie ktoś próbował podszyć się pod zakopiański obiekt. Obecnie nie wiemy jak dużo osób zostało dotkniętych naruszeniem ochrony, lecz dotychczasowa weryfikacja „nie potwierdziła, aby atakujący uzyskali dostęp do wszystkich danych z bazy danych”.

Mamy potwierdzone, że doszło do dostępu do bazy danych, co potwierdza fakt wysłania emaili do części naszych klientów.
Schronisko PTTK Murowaniec

Maile phishingowe

W artykule Sekuraka poświęconym zdarzeniu wskazano, że na portalu LinkedIn udostępniono jeden z maili phishingowych. Stanisław Jesiak, ekspert z wieloletnim doświadczeniem, podkreślił, że celem kampanii phishingowej były środowiska górskie, co wskazuje na wyciek danych.

Zakres naruszenia

Schronisko PTTK Murowaniec poinformowało o zakresie danych, który potencjalnie uległ naruszeniu ochrony. Mowa o m.in.:

• datach i kwotach rezerwacji;
• danych gości hotelowych (podanych bezpośrednio w rezerwacji, np. imię, nazwisko, adres email czy numer telefonu);
• wystawionych dokumentach księgowych (fakturach, paragonach).

„Na chwilę obecną nie potwierdzamy, że do danych osobowych każdej z osób, której dane osobowe znajdowały się na serwerze operatora systemu rezerwacyjnego uzyskali dostęp przestępcy, jednakże w celu dochowania należytej staranności oraz przeciwdziałania ewentualnym skutkom stwierdzonego incydentu bezpieczeństwa informujemy o podjętych działaniach, a także możliwych negatywnych dla Państwa skutkach incydentu” – podkreśla Murowaniec.

Warto dodać, że jednostka odpowiedzialnie podeszła do incydentu, niezwłocznie informując o zdarzeniu.

Skala i zalecenia

Według Sekuraka, nieuprawniony dostęp do danych do systemu rezerwacyjnego może dotyczyć nie tylko gości Schroniska Murowaniec.

„W komunikacie nie wskazano, czy naruszenie objęło też dane gości innych obiektów, więc nie można na ten moment wykluczyć ewentualnej większej skali incydentu. Operator schroniska wskazał, że o zdarzeniu poinformowana została Policja, CERT oraz Prezes Urzędu Ochrony Danych Osobowych” – czytamy w artykule.

Wśród zaleceń schroniska znalazło się m.in.:

• uważanie na ewentualne próby wyłudzeń poprzez podszywanie się pod naszą tożsamość oraz powoływanie na dane z rezerwacji, wysyłane drogą e-mail lub komunikatorami internetowymi (np. WhatsApp);
• ostrożność wobec załączników i linków;
• zwrócenie uwagi na wykorzystywane hasła;
• wykorzystanie usług Biura Informacji Kredytowej.

„Z uwagi na fakt, że obiekty hotelowe często proszą gości o dane z dokumentów tożsamości, zalecamy profilaktyczne (niekoniecznie pod kątem tego incydentu – nie wiemy czy tego typu dane wyciekły) zastrzeżenie numeru PESEL. Można to zrobić za pomocą Profilu Zaufanego oraz w aplikacji mObywatel” – kwituje Sekurak.

Ważny incydent

Omawiana sytuacja jest interesująca pod kątem wykorzystania wykradzionych danych – widzimy, że zostały wykorzystane do kampanii phishingowej, której finalne cele obecnie są nieznane.

Zdarzenie podkreśla również rolę bezpieczeństwa danych, przetwarzanych przez zewnętrzny podmiot. Niedawno informowaliśmy o widoczności z poziomu sieci arkuszy Excela z danymi przetwarzanymi przez jedną z fundacji, który był możliwy do znalezienia wskutek błędu na platformie zarządzanej przez inną organizację.

„Nie mamy na ten moment pełnego potwierdzenia wystąpienia wycieku oraz jego faktycznej skali (zarówno w zakresie ilości danych, jak i ilości obiektów, których dotknął). Niewykluczone, że wskazana kampania phishingowa będzie jeszcze rozsyłana. W przypadku otrzymania podobnej wiadomości, polecamy zgłoszenie jej do CERT” – apeluje Sekurak.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.