Wyciekły dane klientów sieci hotelowej

Sprawa jest poważna ponieważ pakiet informacji został wystawiony na sprzedaż na forum czarnego internetowego rynku - Dark Webie. Wiadomość o wycieku danych ponad 130 mln klientów jednej z sieci hoteli obiegła media w bardzo szybkim tempie.

Dane klientów pochodzą z chińskiej grupy hotelowej Huazhu Hotels Group i wystawione przez hakera kosztują 8 bitcoinów (ok. 208 tys. PLN). Dla informacji, Huazhu Hotels Group jest jedną z wiodących sieci hotelowych w kraju, w której działa 13 marek w niemalże tysiącu miast. Baza ma wielkość 141 gigabajtów i zawieraja 240 mln rekordów z informacjami tj. imię i nazwisko, numer telefonu, numery i serie dowodów tożsamości, data urodzenia, adresy e-mail oraz, co gorsza, dane o kartach płatniczych używanych do rezerwacji noclegów.

W rejestrze znajdują się informacje na temat pobytów gości: daty, godziny zameldowania i wymeldowania z hotelu. Jak podaje China Daily, wyciek danych dotyczy najprawdopodobniej hoteli Grand Mercure, Joye, Novotel, Mercure, CitiGo, Ibis i innych należących do grupy Huazhu Hotels. Przedstawiciele sieci hotelowej milczą, nie odpowiedzieli na pytania serwisu w związku z sprzedażą danych swoich klientów. Trwa dochodzenie w tej sprawie, odpowiednie organy zostały już powiadomione.

Chińska firma cyberbezpieczeństwa Zibao zweryfikowała dane i stwierdziła, że są autentyczne. Rzecznik prasowy Zibao, wraz z innymi badaczami bezpieczeństwa, powiedział, że incydent miał miejsce na początku bieżącego miesiąca. Stwierdzili oni, że przyczyną naruszenia może być błąd programistów pracujących na zlecenie grupy hotelowej, którzy kopie niezabezpieczonych baz danych umieścili na otwartej platformie GitHub.

Wyciek tak dokładnych danych klientów hoteli to bardzo poważna sprawa. Zarówno możliwość poznania miejsca, w którym przebywali pracownicy firm, jak i np. małżonkowie, to ujawnienie tajemnic, które mogą bardzo zaszkodzić gościom. W tym kontekście, choć można narzekać na implementację RODO w Unii Europejskiej, to jednak widzimy tu, że kierunek zmian i ochrona prywatności jest ważna. Przepisy są konieczne, bowiem wiele firm bez przymusu prawnego nie było skłonne inwestować w bezpieczeństwo. Problemy z wyciekiem baz to nie tylko specjalność rynków rozwijających się - w 2017 roku Uber przyznał się do wycieku danych osobowych 57 mln swoich klientów. Firma była zmuszona do zapłaty 100 tysięcy dolarów hackerom w celu nieupubliczniania danych, a i tak można mieć obawy, iż dane mogą znów wypłynąć.