Wyciek danych ze schroniska w Tatrach. UODO: Analizujemy zgłoszenie

Wyciekły dane gości z systemu rezerwacyjnego Schroniska Górskiego PTTK Murowaniec na Hali Gąsienicowej w Tatrach. Nieznani sprawcy, wykorzystując przedświąteczny czas, włamali się na jeden z serwerów operatora systemu rezerwacyjnego, na którym znajdowała się baza z danymi klientów. Wzburzeni internauci obawiają się, że ich najbardziej wrażliwe dane mogły zostać wykradzione. Schronisko wydało obszerne oświadczenie, w którym potwierdza, że "doszło do dostępu do bazy danych" i że "nie można wykluczyć, że zostały pobrane dane osobowe".

Wszystko zaczęło się od maili, które zaczęli otrzymywać goście znajdujący się w bazie schroniska, informujące o rzekomym anulowaniu rezerwacji. Jeśli ktoś się nie wczytywał, to z pewnością wiadomość wydać mu się bardzo wiarygodna: w polu nadawcy znalazła się pełna nazwa "Hostel Schronisko PTTK Murowaniec". Sprawcę zdradza jedynie wątpliwy adres e-mail: ask@wantyourfeedback.com. Schronisko zaprzecza, by wysyłało takie maile, przypominając że ich oficjalny adres to: rezerwacje@murowaniec.com.

Tuż po otrzymaniu od jednego z klientów informacji o podejrzanym mailu, który wyglądał na podszywanie się pod Schronisko, wymagając potwierdzenia rezerwacji poprzez kliknięcie w link potwierdzający, zgłosili sprawę operatorowi systemu rezerwacyjnego oraz do IT. Operator potwierdził nieautoryzowany dostęp.

"Przedstawiciele operatora systemu rezerwacyjnego, zawiadomili nas, że prawdopodobnie doszło do włamania na jeden z ich serwerów, na którym znajdowała się baza z danymi naszych Klientów. W bazie tej znajdowały się także Państwa dane z przyjętych rezerwacji. Mamy potwierdzone, że doszło do dostępu do bazy danych, co potwierdza fakt wysłania emaili do części naszych klientów" - piszą w wydanym oświadczeniu.

Schronisko "na chwilę obecną nie potwierdza", że dostęp do danych wszystkich osób, "które znajdowały się na serwerze operatora systemu rezerwacyjnego uzyskali dostęp przestępcy", jednak informują prewencyjnie o incydencie, podjętych działaniach i możliwych skutkach". Co dokładnie mogło wyciec?

• dane obiektu,
• daty rezerwacji i kwoty rezerwacji,
• dane gości hotelowych (podane bezpośrednio w rezerwacji, np. imię, nazwisko, adres email, numer telefonu lub inne, które były wprowadzone w rezerwacji),
• wystawione dokumenty księgowe (faktury, paragony).

Nie ustalono jednak, jakie konkretnie dane i czyich klientów zostały pobrane. "Według operatora systemu rezerwacyjnego dotychczasowa weryfikacja nie potwierdziła, aby atakujący uzyskali dostęp do wszystkich danych z bazy danych (nie mają wiedzy jakie i czyje konkretnie dane zostały uzyskane). Mając na uwadze powyższe nie można wykluczyć, że zostały pobrane dane osobowe dotyczące Państwa tj. osób, które dokonywały rezerwacji pobytu w naszym Schronisku" - czytamy w oświadczeniu.

Internauci są zaniepokojeni, bo wydaje się, że fałszywe maile otrzymały wyłącznie osoby, które nocowały w schronisku. Jednocześnie nie działa także strona do rezerwacji noclegów.

"Proszę o informację, jakie dokładne dane przechowujecie na serwerach, gdyż podanie ich jako 'np.' nie jest dokładnym określeniem. Przede wszystkim, czy przechowujecie dane spisane z dowodu osobistego podczas zameldowania, tj. numer dowodu oraz pesel lub data ur., gdyż są to dane ekstremalnie wrażliwe" - dopytuje jedna z przewodniczek górskich w komentarzu pod postem schroniska na Facebooku.

Schronisko zapewnia, że uruchomiło wewnętrzną procedurę reagowania na potencjalne naruszenia ochrony danych osobowych, wyłączone zostały zasoby IT objęte atakiem, które zostały zastąpione nowymi, dodatkowo zabezpieczonymi. Przeprowadzono także weryfikację kont użytkowników, aby mieć pewność, że atakujący nie mają już dostępu do baz danych.

"O zaistniałym zdarzeniu zostały poinformowane wewnętrzne służby odpowiedzialne za ochronę danych osobowych, a także organy - Policja, CERT, Prezes Urzędu Ochrony Danych Osobowych (UODO)". Pełna treść oświadczenia tutaj.

UODO w rozmowie z "Wirtualną Polską" potwierdza, że otrzymało zgłoszenie o potencjalnym naruszeniu danych osobowych.

- Informuję, że administrator danych zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. Zgłoszenie to jest obecnie analizowane przez UODO - przekazał rzecznik prasowy Karol Witowski.

Zapytaliśmy Urząd Ochrony Danych Osobowych także o to, czy wyciekły dane gości hotelowych schroniska z dowodów osobistych (w tym PESEL), bo o to dopytywali internauci.

- UODO nie informuje o szczegółach dotyczących zgłoszonych naruszeń ochrony danych. Takich informacji może jedynie udzielić administrator danych, u którego doszło do naruszenia - odpowiedział "Wirtualnej Polsce" Karol Witowski z Urzędu Ochrony Danych Osobowych.

Jeśli obawiamy się, że nasze dane mogły wyciec można to łatwo sprawdzić na specjalnej rządowej stronie bezpiecznedane.gov.pl, a następnie uwierzytelnić swoje dane podczas logowania - z wykorzystaniem Profilu Zaufanego lub stosując mechanizm potwierdzenia tożsamości przez bank.

Poprosiliśmy także o komentarz schronisko w Murowańcu, zapytaliśmy: na jakim etapie jest teraz sprawa, co udało się ustalić oraz co z danymi gości z dowodów osobistych. Do momentu publikacji nie otrzymaliśmy odpowiedzi.