Naruszenie danych gości hotelowych ujawnia informacje 5 milionów osób

Dane gości hotelowych skradzione i ujawniane na Telegramie w czasie rzeczywistym

Badacze bezpieczeństwa z Cybernews odkryli zakrojoną na szeroką skalę operację kradzieży danych wymierzoną w gości hotelowych w wielu krajach. Atak naruszył ponad 500 kont na platformach do zarządzania obiektami gościnnymi, ujawniając dane osobowe prawie 5 milionów podróżnych na całym świecie. To, co sprawia, że to naruszenie jest szczególnie niepokojące, to nie tylko jego skala, ale metoda dystrybucji: skradzione dane były ujawniane w czasie rzeczywistym za pośrednictwem kanałów Telegram, jednocześnie będąc przechowywane na niezabezpieczonym serwerze.

Celem ataku były platformy Chekin z siedzibą w Hiszpanii oraz Gastrodat z siedzibą w Austrii, z których korzystają hotele i zarządcy nieruchomości do obsługi zameldowań gości oraz danych administracyjnych. Hakerzy używali zautomatyzowanych skryptów do systematycznego pozyskiwania imion i nazwisk gości, adresów e-mail, numerów telefonów oraz danych z dokumentów tożsamości wydanych przez organy państwowe z naruszonych kont.

Jak działał atak

Operacja opierała się na przejęciu danych uwierzytelniających, a nie na jednorazowym katastrofalnym naruszeniu jednej platformy. Uzyskując dostęp do ponad 500 indywidualnych kont w systemach zarządzania nieruchomościami, napastnicy byli w stanie pobierać dane gości z każdego z nich przy użyciu zautomatyzowanych narzędzi. Ten rodzaj ataku jest czasami nazywany credential stuffing lub przejęciem konta, gdzie skradzione lub słabe dane logowania są wykorzystywane do uzyskania dostępu do legalnych systemów.

Po uzyskaniu dostępu skrypty zbierały wszelkie dane osobowe zawarte na kontach, w tym informacje, które goście są zobowiązani podać przy zameldowaniu w hotelu: pełne imię i nazwisko zgodne z dokumentem, dane kontaktowe oraz dokumenty tożsamości. Taka kombinacja danych jest szczególnie cenna dla przestępców, ponieważ może być wykorzystana do kradzieży tożsamości, kampanii phishingowych, podmiany karty SIM oraz innych form oszustw.

Decyzja o dystrybucji skradzionych danych za pośrednictwem Telegrama, zamiast sprzedawania ich na tradycyjnych rynkach dark webu, odzwierciedla szerszą zmianę w sposobie działania cyberprzestępców. Telegram staje się coraz powszechniejszym kanałem dystrybucji wyciekniętych danych ze względu na łatwość użytkowania i relatywnie liberalne moderowanie treści.

Co to oznacza dla Ciebie

Jeśli zatrzymywałeś się kiedykolwiek w hotelu korzystającym z Chekin lub Gastrodat do zarządzania gośćmi, Twoje dane osobowe mogą być częścią tego zbioru danych. Nawet jeśli nie jesteś bezpośrednio poszkodowany, incydent ten ilustruje szerszą podatność, z którą mierzą się podróżni: kiedy meldujemy się w hotelu, przekazujemy wrażliwe dane osobowe, mając bardzo ograniczoną wiedzę na temat tego, jak są przechowywane, kto ma do nich dostęp i jak bezpiecznie zarządzane są te systemy.

Ujawnione tutaj dane wykraczają poza prostą kombinację adresu e-mail i hasła. Dane z dokumentu tożsamości w połączeniu z pełnym imieniem i nazwiskiem, numerem telefonu i adresem e-mail dają przestępcom wystarczająco dużo, aby podszyć się pod Ciebie, zakładać konta w Twoim imieniu lub tworzyć wysoce przekonujące wiadomości phishingowe skierowane specjalnie do Ciebie.

Hotele i platformy do zarządzania nieruchomościami są atrakcyjnymi celami właśnie dlatego, że gromadzą bogate dane osobowe dużej liczby osób, często przy mniej rygorystycznej infrastrukturze bezpieczeństwa niż instytucje finansowe czy duże firmy technologiczne.

Kroki, które możesz podjąć, aby zmniejszyć swoje ryzyko

Nie zawsze możesz kontrolować, co dzieje się z Twoimi danymi po przekazaniu ich firmie, ale możesz podjąć kroki, aby ograniczyć szkody, jeśli coś pójdzie nie tak.

Monitoruj swoje konta i tożsamość. Jeśli podróżujesz często, rozważ skorzystanie z usługi monitorowania tożsamości, która powiadamia Cię, gdy Twoje dane osobowe pojawiają się w znanych naruszeniach danych lub w otwartym internecie.

Używaj unikalnych adresów e-mail do rezerwacji podróży. Usługi umożliwiające tworzenie aliasowych adresów e-mail oznaczają, że nawet jeśli jedno konto zostanie naruszone, zasięg tego naruszenia pozostanie ograniczony.

Podchodź sceptycznie do niezamówionych kontaktów. Jeśli otrzymasz wiadomość e-mail, SMS lub telefon nawiązujący do niedawnego pobytu w hotelu, zachowaj ostrożność. Napastnicy używają takich szczegółów, aby nadać próbom phishingu bardziej przekonujący charakter.

Zabezpiecz swoje urządzenia i połączenia podczas podróży. Publiczne sieci w hotelach i na lotniskach są częstymi punktami wejścia dla przechwytywania danych. Korzystanie z VPN podczas łączenia się z publiczną siecią Wi-Fi szyfruje Twój ruch i zmniejsza ryzyko monitorowania lub przechwycenia Twojej aktywności.

Sprawdź, jakie dane platformy przechowują na Twój temat. W wielu krajach, w szczególności w Unii Europejskiej, masz prawo do żądania informacji o tym, jakie dane osobowe firma przechowuje, oraz do żądania ich usunięcia. Jeśli zatrzymywałeś się w obiektach korzystających z platform takich jak Chekin lub Gastrodat, możesz skontaktować się bezpośrednio z tymi platformami.

To naruszenie jest przypomnieniem, że Twoje dane osobowe podróżują razem z Tobą, często w sposób, którego nie możesz zobaczyć ani kontrolować. Bycie na bieżąco z informacjami o tym, gdzie trafiają Twoje dane, oraz podejmowanie praktycznych kroków w celu ograniczenia swojego ryzyka, to najbardziej skuteczna obrona dostępna zwykłym podróżnym w tej chwili.