W systemie rezerwacyjnym Hotres, wykorzystywanym przez wiele polskich hoteli i obiektów noclegowych, doszło do poważnego naruszenia zabezpieczeń, które skutkowało wyciekiem danych osobowych gości. Zdarzenie to wywołuje konieczność pilnego działania ze strony administratorów hotelowych, aby ochronić swoich klientów przed próbami wyłudzeń i poważnymi skutkami naruszenia RODO.
Włamanie do systemu Hotres, ujawnione 3 lipca, zostało spowodowane techniką SQL injection, która umożliwiła przestępcom dostęp do szerokiego zakresu informacji rezerwacyjnych. Z wykradzionych danych wynika, iż zawierają one m.in. imiona i nazwiska gości, adresy e-mail, numery telefonów, daty pobytów oraz kwoty dokonanych rezerwacji. Ta wiedza pozwala na wysyłanie do klientów bardzo wiarygodnych fałszywych powiadomień o płatnościach lub dopłatach – często przesyłanych poprzez WhatsApp czy inne komunikatory.
Dla hoteli korzystających z Hotres sytuacja rodzi konieczność dokonania szczegółowej analizy naruszenia. Przede wszystkim niezbędne jest ustalenie, czy wyciek danych dotyczy rezerwacji realizowanych w danym obiekcie, a także oszacowanie potencjalnej liczby osobowych rekordów, które mogły zostać ujawnione. Kolejnym krokiem powinna być weryfikacja komunikacji otrzymanej od dostawcy systemu oraz dokumentacja procesów oceny ryzyka powstałego incydentu.
Zgodnie z wymogami RODO, administrator danych musi zgłosić incydent do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych – niezwłocznie, a maksymalnie w ciągu 72 godzin od wykrycia naruszenia, o ile istnieje realne ryzyko naruszenia praw i wolności osób fizycznych. W tym celu obiekty noclegowe powinny dokładnie udokumentować stosowane środki ochronne oraz kroki podjęte po ujawnieniu włamania.
Z uwagi na pojawiające się zgłoszenia od gości o wiadomościach z prośbą o wykonanie dopłat lub podanie danych karty płatniczej, hotele muszą aktywnie komunikować się z klientami, wyjaśniając, iż żadne płatności nie powinny być realizowane poprzez powiązane w wiadomościach linki. Najbezpieczniejszą praktyką jest potwierdzanie wszelkich próśb finansowych bezpośrednio przez oficjalne kanały kontaktu, takie jak numer telefonu lub adres e-mail obiektu.

1 tydzień temu








