Raziskovalna ekipa Cybernews je odkrila nezaščiten strežnik Elasticsearch in vmesnik Kibana, ki sta razkrila skoraj 25 milijonov zapisov s podatki hotelskih gostov.

Vrste izpostavljenih podatkov:

• Imena
• E-poštni naslovi
• Telefonske številke
• Datumi rojstva
• Državne kode
• Jezikovne kode
• Informacije o hotelskih obiskih
• Podrobnosti o bivanju, vključno s časom prihoda, številom rezerviranih nočitev, plačano ceno in številom gostov
• Točke zvestobe
• Identifikacijske številke nepremičnin

Čeprav ni bilo mogoče natančno določiti, katero podjetje je odgovorno za izpostavitev podatkov, obstajajo močni kazalci, da bi lahko šlo za skupino Honotel, francosko investicijsko in upravljavsko podjetje v gostinstvu. Skupina upravlja 135 hotelov v osmih evropskih državah, z ocenjeno vrednostjo premoženja 1,2 milijarde evrov.

V izpostavljenih podatkih je bilo posebej omenjeno “SITE HONOTEL”, integrirane pa so bile tudi platforme za rezervacije, kot je Booking.com, kar kaže na to, da bi lahko šlo za del sistema za upravljanje gostov in rezervacij skupine Honotel.

Tveganja za goste:

Izpostavljeni podatki ogrožajo zasebnost in varnost hotelskih gostov. Osebni podatki skupaj z informacijami o rezervacijah in natančnimi podatki o potovanjih so lahko prava zakladnica za zlonamerne akterje. Napadalci bi lahko izvedli ciljno usmerjene phishing napade ali pa podatke izkoristili za goljufije in krajo identitete, kar lahko resno vpliva na finančne račune posameznikov.

Pravni in finančni učinki:

Nezaščiteni podatki strank lahko privedejo do pravnih postopkov in škode za ugled podjetja. Skladno z evropsko Splošno uredbo o varstvu podatkov (GDPR) morajo podjetja prijaviti kršitev osebnih podatkov v roku 72 ur. Kršitve lahko povzročijo globe v višini od 2% do 4% celotnega svetovnega letnega prihodka podjetja.

Priporočila za preprečevanje prihodnjih izpostavitev podatkov:

Kot strokovnjaki za kibernetsko varnost in IT upravljanje že več kot 6 let sodelujemo s hotelskimi verigami in razumemo, kako občutljive so lahko posledice takšnih dogodkov. Poudarjamo, da:

• Zaščita podatkov ni opcija, temveč nujna prioriteta vsake organizacije.
• GDPR predpisi zahtevajo, da se kršitve poročajo v 72 urah, globe pa lahko dosežejo do 4 % letnega prihodka organizacije.
• Ugled podjetja je lahko močno načet, posledično pa trpi tudi zaupanje gostov.

Pri Inovis se trudimo, da bi hotelske verige zaščitili pred tovrstnimi incidenti. Z našimi rešitvami za varovanje podatkov, proaktivno spremljanje sistemov in krizno odzivanje na kibernetske grožnje si prizadevamo ustvariti varno okolje za podjetja in njihove goste.

Naše priporočilo za vse hotelske verige in druge organizacije:

• Redno posodabljajte svoje varnostne sisteme.
• Zavarujte dostop do občutljivih podatkov z ustreznimi protokoli.
• Izobražujte zaposlene o prepoznavanju kibernetskih groženj.
• Zagotovite natančne varnostne preglede in krizne načrte.

Zaključek:

Ta primer izpostavlja, kako ranljivi so lahko podatki v podjetjih, ki upravljajo z ogromnimi količinami občutljivih informacij, kot so hotelske verige. Posledice takšnih izpostavitev niso omejene zgolj na finančne globe ali pravne postopke, temveč imajo dolgoročne učinke na zaupanje strank in ugled podjetja.

Zato je vzpostavitev in vzdrževanje visoke ravni zaščite podatkov ključnega pomena. Podjetja morajo proaktivno vlagati v varnostne sisteme, izvajati redne preglede IT okolja in izobraževati svoje zaposlene o pomembnosti kibernetske varnosti. Še posebej v industrijah, kot je gostinstvo, kjer se dnevno obdelujejo osebni in občutljivi podatki gostov, je visoka raven zaščite ključna za zagotavljanje varnosti in zaupanja.

Naš poziv: Zaščitite svoje podatke, prepoznajte potencialne ranljivosti in ukrepajte, še preden postane prepozno. Pri Inovis smo tukaj, da vam pomagamo pri vzpostavljanju varnega IT okolja, ki bo ščitilo vas in vaše stranke pred vedno večjimi grožnjami sodobnega kibernetskega sveta.

Zaupanje in varnost se začneta pri pravih odločitvah. 🔒