
Większość osób nawet nie zdaje sobie sprawy, że może być celem tego ataku. Wyciek danych z systemu rezerwacyjnego Hotres.pl, wykorzystywanego przez ponad 2000 obiektów noclegowych, może dotyczyć także osób, które nigdy nie słyszały o tej platformie. Skala incydentu wciąż nie jest znana, jednak wiele wskazuje na to, że cyberprzestępcy już rozpoczęli polowanie na potencjalne ofiary.
Jak ustalił Niebezpiecznik, z systemu rezerwacyjnego stworzonego z myślą o właścicielach obiektów noclegowych – Hotres.pl wyciekły dane użytkowników.
"Od wczoraj klienci którzy mają rezerwację otrzymują na whatsapp-ie wiadomości o złożonej rezerwacji z dokładnymi danymi oraz linkiem do płatności co jest próbą wyłudzenia opłaty" – przekazano w komunikacie organizacji zajmującej się cyberbezpieczeństwem.
W ramach wycieku doszło do wykradzenia imion i nazwisk, adresów e-mail i numerów telefonu. Co istotne, w danych są również daty pobytu i kwota uiszczona za pobyt. Ma to niebagatelne znaczenie dla zasięgu ataku.
Przestępcy odpowiedzialni za atak posłużyli się metodą SQL Injection. Skala ataku nie jest znana, ale warto zwrócić uwagę, że nawet jeśli nazwa Hotres nic nam nie mówi (a pewnie wiele osób przedwcześnie odetchnęło z ulgą widząc ją), nie oznacza to, że jesteśmy poza zasięgiem przestępców. Wiele osób nawet nie wie, że korzystało z infrastruktury tej firmy.
Problemem jest to, jak w ogóle ustalić, czy z usług systemu Hotres się korzystało. Hotele nie zawsze się tym chwalą
Hotres na swojej stronie udostępnia portfolio z realizacjami, gdzie wdrożono ich strony hotelowe. Dotyczy to jednak "ostatnich realizacji". Obecnie znajdują się tam 33 hotele. Wśród hoteli i noclegowni współpracujących z Hotres są zarówno te, które znajdują się nad wodą (nad morzem, nad jeziorami), jak i placówki działające w górach. Według platformy bookingowej ich system jest wykorzystywany przez ponad 2000 obiektów.
Nie wszystkie obiekty są ujęte w portfolio realizacji. Część placówek, które współpracują z firmą udostępnia odnośnik do Hotres, np. "powered by Hotres" lub "booking by Hotres", w stopce na samym dole witryny. W przypadku podejrzeń, że nasze dane wyciekły, warto więc odwiedzić stronę danego bookingu, sprawdzić, czy są tam odnośniki do Hotres i jeśli tak, przygotować się na potencjalny wzrost liczby ataków phishingowych.
Według Niebezpiecznika warto sprawdzić też, czy w mailach potwierdzających rezerwację znajdują się odnośniki do platformy Hotres.
Rzeczywista skala zagrożenia – wyłudzenia danych i szantaże
Dane z wycieku zdecydowanie mogą posłużyć intensyfikacji ataków phishingowych. Phishing to cyberoszustwo, którego celem jest wykradnięcie danych płatniczych (i innych informacji). Przestępcy operują tu na mechanizmie podszywania się pod oficjalną korespondencję (np. firmową, bankową, urzędową) i starają się stworzyć presję czasu (nie zawsze, ale często), która ma nakłonić ofiarę ataku do ujawnienia jak największej liczby informacji.
Dlatego osoby, które korzystały ostatnio z usług bookingowych, powinny zachować szczególną ostrożność i zdecydowanie nie reagować na dziwne maile (nawet przypominające te oficjalne), a każdą podejrzaną wiadomość weryfikować ze źródłem (np. infolinią banku lub hotelu). Pod żadnym pozorem nie należy pobierać i instalować załączników z niesprawdzonych źródeł. W tym wypadku szczególnym zagrożeniem są maile próbujące wymuszenia dodatkowych płatności w związku z rezerwacjami (bo brzmią bardzo wiarygodnie). Ale na tym nie koniec.
Dalsza część artykułu poniżej.
Zobacz także
To, co może wydarzyć się w przypadku tego konkretnego ataku to próby szantażowania. Wśród informacji, które wyciekły, są też te, które dotyczą dat wyjazdów. Powiązanie osoby z jej profilami społecznościowymi i wyjazdem w terminie, w którym np. mogłoby dojść do chociażby zdrady małżeńskiej jest jak najbardziej możliwe. Problem jednak leży gdzie indziej, w praktyce przestępcy nie muszą prowadzić nawet takiego "śledztwa".
Wystarczy szeroka kampania spamowa, w której zawarte będą informacje pokroju: "Byłeś w hotelu X, wiemy z kim. Jeśli nie zapłacisz Y, poinformujemy twoją partnerkę". Szantaże nie muszą zresztą dotyczyć kwestii obyczajowych, a mogą koncentrować się także na czynniku zawodowym, np. "Poinformujemy twojego pracodawcę, gdzie tak naprawdę byłeś od X do Y".
Informacje na temat dat wyjazdu to potężne narzędzie w rękach oszustów. Niekoniecznie jednak musi za tym stać wycelowana strategia, ponownie, cyberprzestępcy często wykorzystują efekt skali w swoich działaniach, szczególnie gdy mówimy o ogromnych wyciekach.






