Uważaj na fałszywe maile od „hoteli”

16 grudnia br. informowaliśmy o możliwym wycieku danych osobowych gości Schroniska PTTK Murowaniec. Należy podkreślić, że schronisko od początku informowało o incydencie w zewnętrznym podmiocie, czyli u operatora systemu rezerwacyjnego.

Wiemy jednocześnie, że niektórzy goście wspomnianej placówki otrzymali maile phishingowe z prośbą o potwierdzenie rezerwacji.

„Mamy potwierdzone, że doszło do dostępu do bazy danych, co potwierdza fakt wysłania emaili do części naszych klientów” – stwierdzono wówczas w komunikacie z 12 grudnia.

Zakres danych objętych naruszeniem ochrony obejmował m.in.:

• daty i kwoty rezerwacji;
• dane gości hotelowych (podane bezpośrednio w rezerwacji, np. imię, nazwisko, adres email czy numer telefonu);
• wystawione dokumenty księgowe (faktury, paragony).

Większa skala incydentu

15 grudnia br. Sekurak stwierdził, że nie można wykluczyć „większej skali incydentu” – jak wiemy, zdarzenie nie wystąpiło po stronie infrastruktury bezpośrednio zarządzanej przez zakopiańskie schronisko.

Trzy dni później okazało się, że faktycznie doszło do incydentu po stronie operatora systemu rezerwacji.

„(…) prawdopodobnie doszło do włamania na jeden z serwerów (dev.kwhotel.pl). Na serwerze znajdowała się baza z danymi Państwa klientów” – czytamy w zawiadomieniu przytoczonym na łamach Sekuraka.

Jednocześnie nie potwierdzono ani nie wykluczono bezpośredniego dostępu do baz danych klientów hoteli. Obecnie skala incydentu jest nieznana.

KajWare Sp. z o.o. (odpowiedzialne m.in. za KWHotel) poinformowało również o licznych atakach DDoS, które skutkowały czasową niedostępnością systemów.

„Jednocześnie nasz zespół IT wykrył na serwerze bazodanowym podejrzane pliki, co sugeruje ingerencję atakujących w nasze serwery. (…)  Na chwilę obecną nie jest wiadome czy i ewentualnie na jaką skalę doszło do pobrania danych, pragniemy jednak podkreślić, że podejmujemy wszelkie możliwe działania, aby sprawę wyjaśnić, a nasze doświadczenia wynikające z doświadczanych ataków wykorzystać do jeszcze lepszego zabezpieczenia danych naszych klientów oraz rozwiązań, które im oferujemy” – czytamy w stanowisku dotyczącym incydentu.

Spółka podkreśliła nieodnotowanie wzmożonego ruchu sieciowego. „(…) aktualnie bierzemy pod uwagę ewentualną możliwość pobrania części danych” – poinformowała firma.

Co to oznacza?

Jeżeli otrzymamy mail, który ma rzekomo pochodzić od hotelu, sugerujący nam podjęcie działania (np. potwierdzenie rezerwacji, uzupełnienie danych czy płatność) – warto na chwilę zatrzymać się i nie klikać w dołączony link. W przypadku jakiejkolwiek niepewności, należy skontaktować się z obiektem poprzez wykorzystaną witrynę do rezerwacji (np. Booking czy Airbnb) lub wykonanie połączenia telefonicznego.

Maile phishingowe rozsyłane przez cyberprzestępców pochodzą z nietypowej domeny – warto zwrócić uwagę, kto tak naprawdę wysłał do nas maila.

Jeśli otrzymamy taką wiadomość, warto niezwłocznie zgłosić ją do CERT Polska. W przypadku informacji o naruszeniu ochrony danych osobowych, zaleca się m.in.:

• zastrzeżenie numeru PESEL;
• zachowanie ostrożności wobec prób kontaktu (niezależnie od medium – mowa tutaj zarówno o mailach, WhatsAppie czy telefonach);
• rozważenie skorzystania z usług BIK czy ChrońPESEL.

Skala incydentu

Obecnie ciężko jest ustalić liczbę osób, których dane uległy naruszeniu ochrony wskutek incydentu. Zawiadomienia o naruszeniu ochrony danych osobowych opublikowały poniższe placówki:

• Schronisko PTTK Murowaniec (12.12.2025 r.);
• ApartHotel Gostyń (12.12.2025 r.);
• Śródka Nieruchomości s.c. („Hotel Środka", Poznań, 16.12.2025 r.);
• Zamoyskiego s.c. („Noclegi Stadion", Warszawa, 18.12.2025 r.);
• Chopin Boutique B&B (Warszawa, 21.12.2025 r.);
• Ośrodek Wypoczynkowy „Merkury" (Mrzeżyno);
• Villa Continental (Pobierowo).

Podkreślamy, że ww. placówki nie stwierdziły jednoznacznie wycieku danych, lecz możliwość naruszenia ich poufności wskutek incydentu u dostawcy usług – dotychczas nie potwierdzono jednoznacznie kradzieży danych klientów.

Przeciwdziałanie

Obecnie nie wiemy, w jaki sposób doszło do incydentu. Warto również podkreślić niezwłoczną reakcję Schroniska PTTK Murowaniec i ApartHotel Gostyń, którzy już 12 grudnia br. poinformowali publicznie o zdarzeniu, pomimo tego, że nie doszło tam do przełamania zabezpieczeń.

Jeżeli podejrzewamy, że nasze dane uległy naruszeniu ochrony, warto skontaktować się z inspektorem ochrony danych obiektu – zazwyczaj numer telefonu i/lub adres e-mail są obecne w zawiadomieniach czy w zakładce „kontakt” na stronach przedsiębiorstw. Zachęcamy również do zapoznania się z artykułem w tym temacie.

Na pewno na podkreślenie zasługuje wymuszenie korzystania z dwuetapowego uwierzytelniania wśród klientów KWHotel – jest to bardzo ważny element naszego bezpieczeństwa w cyberprzestrzeni, co opisaliśmy na naszych łamach. Niewykluczone, że pozwoliłoby to uniknąć m.in. wypisania fałszywych recept wskutek nieuprawnionego dostępu do konta lekarza.

Pozostaje nam oczekiwać na informację dotyczącą ewentualnego wystąpienia wycieku oraz jego skali. Wiadomo, że sprawa została zgłoszona do CERT Polska i UODO.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.