Branża hotelarska na celowniku cyberprzestępców. 4 najpoważniejsze kradzieże danych w historii  

Czytaj więcej

Branża turystyczna i hotelarska staje się coraz bardziej zależna od nowoczesnej technologii informatycznej w zakresie zarządzania rezerwacjami, przetwarzania płatności i przechowywania danych Klientów. Niestety, uzależnienie od technologii sprawiło, że branża ta stała się atrakcyjnym celem dla cyberprzestępców.  

Zgodnie z danymi opublikowanymi przez IBM w raporcie „Annual Cost of Data Breach”, średni koszt naruszenia bezpieczeństwa danych w roku 2022 dla branży turystycznej wynosił 2,94 mln USD.  

W tym zestawieniu zaprezentowaliśmy najpoważniejsze przypadki cyberataków, których ofiarą padły duże sieci hoteli.  

Najbardziej rozpoznawalne przypadki naruszenia bezpieczeństwa systemów informatycznych w hotelarstwie 

1. 3 ataki hakerów na globalną grupę hotelową   

Historia ataków na tę grupę hotelową jest jednym z częściej przytaczanych przykładów konsekwencji, jakie niesie ze sobą nieodpowiednie zabezpieczenie systemów i danych w hotelarstwie.  

Jest to jedna z największych grup hoteli, zarządzającą 31 markami i ponad 8500 obiektami na całym świecie, a historia ataków na jej systemy sięga co najmniej 2014 roku. W tym czasie skradzione zostały wrażliwe dane setek milionów Klientów, a firma poniosła ogromne straty, zarówno wizerunkowe, jak też finansowe.  

Pierwszy incydent – 2014-2018 

Data ogłoszenia incydentu: 30.11.2018 

Co się wydarzyło 

W roku 2014 hakerzy uzyskali zdalny dostęp do systemów rezerwacji jednej z grup hotelowych, po zainstalowaniu szkodliwego oprogramowania RAT (trojana zdalnego dostępu). Firma ta 2 lata później została przejęta przez globalną sieć hotelową. Niestety podczas przejęcia firmy nie przeprowadzono odpowiedniego wstępnego audytu zabezpieczeń i kradzież danych była nadal możliwa, aż do 2018 roku.  

Skutki 

Jest to jedno z największych w historii naruszeń bezpieczeństwa danych. W jego wyniku przestępcy uzyskali dostęp do informacji na temat 383 milionów Klientów grupy hotelowej, w tym ok. 25 milionów numerów paszportów, a także danych o 8 milionach kart kredytowych.  

Inne konsekwencje ataku: 

  • kara w wysokości 23,8 miliona USD, nałożona przez brytyjskie Biuro Komisarza ds. Informacji (ICO), w związku z zaniedbaniem obowiązków wynikających z Ogólnego rozporządzenia o ochronie danych (RODO), 
  • koszty obsługi prawnej, związane ze złożonymi przeciwko firmie pozwami, zarówno ze strony poszkodowanych Klientów, jak też inwestorów,  
  • potencjalne odszkodowania wynikające z procesów, których wysokość szacowana jest nawet na 1,8 miliarda USD,  
  • czasowy spadek wartości akcji sieci o 8,7% po ogłoszeniu włamania w 2018 roku. 

Drugi incydent – 01-02.2020 

Data ogłoszenia incydentu: 31.03.2020 

Co się wydarzyło 

Według firmy hakerzy przeprowadzili atak typu ATO (przejęcie konta), z wykorzystaniem danych logowania pracowników obiektu franczyzowego sieci. 

Dzięki nim w połowie stycznia 2020 przestępcy uzyskali dostęp do jednego z systemów firmy, a ich działania trwały do czasu, gdy firma odkryła naruszenie pod koniec lutego. 

Skutki 

W wyniku naruszenia bezpieczeństwa danych mogły zostać ujawnione dane osobowe ponad 5,2 miliona gości, obejmujące następujące informacje: 

  • adres korespondencyjny,  
  • adres e-mail i numer telefonu;  
  • informacje o koncie lojalnościowym;  
  • płeć i data urodzenia. 

Trzeci incydent – 06.2022 

Data ogłoszenia incydentu: 28.06.2022 

Co się wydarzyło 

W czerwcu 2020 roku nieznana grupa hakerów wykorzystała socjotechnikę, aby oszukać pracownika hotelu należącego do sieci, zlokalizowanego w stanie Maryland, uzyskać dostęp do jego komputera i skopiować z niego wrażliwe dane dotyczące zarówno firmy, jak też Klientów.  

Skutki 

Hakerzy skontaktowali się z czerwcu 2022 roku z portalem Databreaches.net, aby opisać skutki swojego włamania. Według ich deklaracji ukradli ponad 20 gigabajtów wrażliwych danych, w tym dane kart kredytowych gości. 

W wydanym później oświadczeniu sieć hotelowa podała, że przeprowadzone wewnętrzne dochodzenie wykazało, że dane, do których uzyskano dostęp, „zawierały głównie niewrażliwe wewnętrzne pliki biznesowe dotyczące funkcjonowania obiektu”. 

Niezależnie od tego, która wersja jest bardziej zbliżona do prawdy, firma powiadomiła organy ścigania i skontaktowała się z ok 300-400 gośćmi, których dane mogły zostać wykradzione.  

Inne konsekwencje ataków hakerów na systemy sieci hotelowej 

W przypadku trwających ataków o tak dużej skali, jak te, z którymi mamy do czynienia w przypadku tej sieci, niemożliwe jest określenie dokładnej kwoty utraconej zarówno przez Klientów, jak też samą firmę.  

W różnych źródłach pojawiały się próby oceny skali poniesionych strat – według danych z maja 2023 roku wydatki poniesione w związku z opisanymi powyżej naruszeniami bezpieczeństwa danych wyniosły co najmniej 71 milionów USD

Kwota obejmuje między innymi: 

  • koszty związane z dochodzeniem i naprawą luk w zabezpieczeniach, które umożliwiły włamania do systemów,  
  • wydatki poniesione w związku z koniecznością zawiadomienia poszkodowanych gości o ryzyku kradzieży ich danych,  
  • stworzenie i obsługę call center dla klientów, która w okresie po ogłoszeniu największego z włamań do systemów, od listopada 2018 do maja 2019, przyjęła ponad 57 000 połączeń,  
  • grzywnę nałożoną na sieć w Wielkiej Brytanii za zaniedbanie obowiązków wynikających z Ogólnego rozporządzenia o ochronie danych (RODO). 

Oprócz tego firma musi liczyć się z dodatkowymi kosztami wieloletnich postępowań sądowych, obejmujących zarówno obsługę prawną, jak również ewentualne zasądzone odszkodowania lub kwoty wypłacone w ramach ugody z poszkodowanymi.  

2.  Kradzież danych blisko 130 milionów Klientów chińskiej sieci hotelowej 

W momencie wykrycia włamania grupa zarządzała ponad 3800 hotelami na terenie Chin, w ramach 13 marek. Pod koniec sierpnia 2018 roku w darknecie wystawiono na sprzedaż bazę danych Klientów sieci, zawierającą blisko 500 milionów rekordów.   

Data ogłoszenia incydentu: 28.08.2018 

Co się wydarzyło 

Zgodnie z oświadczeniem firmy, przyczyną naruszenia była luka w systemie rezerwacji online sieci hotelowej, którą wykorzystał nieznany napastnik. Osoba atakująca była w stanie uzyskać dostęp do systemu i ukraść poufne informacje, w tym nazwiska klientów, numery telefonów, adresy e-mail i zaszyfrowane hasła, a także informacje o rezerwacjach hotelowych, takie jak daty pobytu i konkretne zarezerwowane hotele. 

Skutki 

Wykradzione zostały dane blisko 130 milionów Klientów sieci hotelowej, które następnie zostały wystawione przez hakerów do sprzedaży w darknecie.  

W efekcie naruszenia danych firma poniosła znaczne straty finansowe oraz wizerunkowe, obejmujące: 

  • koszty powiadomienia gości o kradzieży danych, jak również wykupienia dla zainteresowanych klientów usługi ochrony przed kradzieżą tożsamości, 
  • w Chinach firma została ukarana grzywną w wysokości 1 miliona juanów (około 145 000 dolarów) przez Narodową Komisję Rozwoju i Reform za naruszenie krajowych przepisów dotyczących cyberbezpieczeństwa, 
  • kurs akcji spółki natychmiast po ogłoszeniu włamania spadł o 4,36% i w kolejnych dniach nadal spadał. 

Bez wątpienia to naruszenie danych zaszkodziło reputacji i wizerunkowi marki. Firma została również skrytykowana za powolną i zdaniem wielu ekspertów, nieadekwatną do skali problemu reakcję. Dodatkowo naruszenie mogło spowolnić plany globalnej ekspansji firmy. 

3. 700 000 USD grzywny dla sieci hoteli za zaniedbania w ochronie danych 

W przypadku branży hotelarskiej z punktu widzenia hakerów bardzo atrakcyjnym celem są dane kart kredytowych Gości. Ze względu na zagrożenie, jakie stanowi wyciek tego rodzaju informacji powinni być one szczególnie dobrze zabezpieczone przez przechowujące je przedsiębiorstwa.  

W przypadku jednej z sieci hoteli celem hakerów w roku 2015 padły właśnie dane kart kredytowych

Data ogłoszenia incydentu: 01.11.2015 

Co się wydarzyło  

Specjaliści ds. Bezpieczeństwa zauważyli podejrzaną aktywność w systemach przetwarzania płatności. Natychmiast wszczęto dochodzenie i wkrótce firma ustaliła, że do kradzieży poufnych informacji z terminali POS w niektórych hotelach wykorzystano złośliwe oprogramowanie. 

Celem hakerów było przechwytywanie danych obejmujących imię i nazwisko posiadacza karty, numer karty, datę ważności i kod zabezpieczający.  

Pierwsze naruszenie odkryto w lutym 2015 r., a drugie w lipcu 2015 r., ale informację o naruszeniach upubliczniono dopiero w listopadzie 2015 r., za co firma została mocno skrytykowana.  

Skutki 

Zgodnie z ustaleniami śledczych, ataki na terminale sieci zagroziły ponad 363 000 kont Klientów. Są to jednak szacunki, ponieważ specyfika wykorzystanego przez hakerów oprogramowania uniemożliwiła precyzyjną ocenę tego, jakie dane zostały wykradzione w przypadku poszczególnych kart.  

Ze względu na opieszałość w poinformowaniu klientów firma została ukarana w Stanach Zjednoczonych grzywną w wysokości 700 000 dolarów.  

Omawiając przypadek ataków na tę sieć hoteli specjaliści od cyberbezpieczeństwa są zgodni, że jest to doskonały przykład tego, jak duże znaczenie dla złagodzenie skutków kradzieży ma szybkie powiadomienie potencjalnych poszkodowanych i współpraca z organami ścigania.  

4. Kradzież danych 10, 142 czy 200 milionów Gości sieci hotelowej? 

W przypadku ataków hakerów na obiekty hotelowe, szczególnie niewykrytych przez dłuższy okres, często trudno jest dokładnie określić ilość wykradzionych danych i poszkodowanych osób.  

Jednym z bardziej znanych przykładów sytuacji, w której trudno było określić dokładną skalę kradzieży jest włamanie do systemów jednej z sieci z roku 2019.  

Data ogłoszenia incydentu: 19.02.2020 

Co się wydarzyło 

W lutym 2020 roku przedstawiciele sieci przyznali, że w 2019 r. doszło do naruszenia bezpieczeństwa danych, które dotknęło 10,6 miliona gości. 

Zgodnie z komunikatem, skradzione dane obejmowały imiona i nazwiska, numery telefonów, adresy domowe, adresy e-mail i daty urodzenia. W przypadku około 1300 osób hakerzy uzyskali dostęp do bardziej wrażliwych danych – takich jak prawa jazdy, paszporty czy wojskowe dowody osobiste. 

Pół roku po ogłoszeniu incydentu, w lipcu 2020 w portalu Zdnet.com opublikowano artykuł sugerujący, że skala incydentu mogła być znacznie większa. W jednym z portali hakerskich w darkwebie pojawiło się ogłoszenie o sprzedaży danych z tego włamania, zawierających rzekomo informacje o ponad 142 milionach klientów sieci. Z kolei rok wcześniej, w lipcu 2019 na rosyjskojęzycznym forum hakerskim pojawił się post promujący pakiet danych blisko 200 milionów gości.  

Skutki 

Ze względu na sprzeczne informacje wciąż trudno jest ocenić prawdziwą skalę ataku hakerów na tę sieć hoteli. Jednak niezależnie od wszelkich wątpliwości co do wielkości włamania, firma poniosła znaczne straty finansowe oraz wizerunkowe.  

Niektóre z konsekwencji ataku hakerów obejmowały: 

  • wydatek rzędu 2,5 miliona dolarów, obejmujących koszty powiadomienia i ochrony poszkodowanych klientów,  
  • 14% spadek przychodów w IV kwartale 2020 roku, w porównaniu do analogicznego okresu roku poprzedniego, co zdaniem ekspertów w dużej mierze wynikało ze spadku zaufania klientów na skutek incydentu,  

Podobnie jak miało to miejsce w przypadku wcześniej opisanych ataków na sieci hotelowe, po ogłoszeniu naruszenia cena akcji spółki spadła, a powrót do normy trwał kilka miesięcy.

This post is also available in: English (Angielski)