{"id":160497,"date":"2025-12-19T19:33:27","date_gmt":"2025-12-19T19:33:27","guid":{"rendered":"https:\/\/www.europesays.com\/pl\/160497\/"},"modified":"2025-12-19T19:33:27","modified_gmt":"2025-12-19T19:33:27","slug":"aktualizacja-kwhotel-informuje-o-prawdopodobnym-wlamaniu-na-jeden-z-serwerow-uwaga-rowniez-na-wiadomosci-podszywajace-sie-pod-hotele-i-probujace-wyludzic-dane-kart-platniczych","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/pl\/160497\/","title":{"rendered":"[Aktualizacja] KWHotel informuje o prawdopodobnym w\u0142amaniu na jeden z serwer\u00f3w. Uwaga r\u00f3wnie\u017c na wiadomo\u015bci podszywaj\u0105ce si\u0119 pod hotele i pr\u00f3buj\u0105ce wy\u0142udzi\u0107 dane kart p\u0142atniczych"},"content":{"rendered":"<p>KWHotel informuje wsp\u00f3\u0142pracuj\u0105ce z nimi obiekty hotelowe :<\/p>\n<p>\u201cprawdopodobnie dosz\u0142o do w\u0142amania na jeden z serwer\u00f3w (dev[.]kwhotel[.]pl) Na serwerze znajdowa\u0142a si\u0119 baza z danymi Pa\u0144stwa klient\u00f3w\u201d.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" width=\"652\" height=\"766\" src=\"https:\/\/www.europesays.com\/pl\/wp-content\/uploads\/2025\/12\/image002.png\" alt=\"\" class=\"wp-image-53905\"  \/><\/p>\n<p>[Troch\u0119 podejrzanie brzmi ten przedrostek \u201cdev\u201d. Czy\u017cby produkcyjne dane na serwerze dev?]<\/p>\n<p>Jak wida\u0107 prawdopodobnie wyciek\u0142y:<\/p>\n<ul class=\"wp-block-list\">\n<li>dane go\u015bci hotelowych (r\u00f3wnie\u017c z rezerwacji z Booking, czy od innych po\u015brednik\u00f3w),<\/li>\n<li>has\u0142a dost\u0119powe do KWHotel (has\u0142a u\u017cytkownik\u00f3w hoteli),<\/li>\n<li>dokumenty ksi\u0119gowe.<\/li>\n<\/ul>\n<p>Na zaatakowanym serwerze by\u0142 r\u00f3wnie\u017c skrypt, kt\u00f3ry mia\u0142 usun\u0105\u0107 dane, ale z jakiego\u015b powodu plik nie zosta\u0142 uruchomiony przez atakuj\u0105cych.<\/p>\n<p>Niedawno informowali\u015bmy o <a href=\"https:\/\/sekurak.pl\/kampania-phishingowa-i-mozliwy-wyciek-danych-gosci-schroniska-murowaniec\/\" rel=\"nofollow noopener\" target=\"_blank\">ostrze\u017ceniu Schroniska Murowaniec<\/a> \u2013 o mo\u017cliwych wiadomo\u015bciach e-mail podszywaj\u0105cych si\u0119 pod Schronisko. To najprawdopodobniej ta sama \u201cakcja\u201d.<\/p>\n<p>Poni\u017cej jeszcze inny przyk\u0142ad \u2013 tym razem podszywaj\u0105cy si\u0119 pod jeden z mniejszych obiekt\u00f3w. Link prowadzi do strony pr\u00f3buj\u0105cej wy\u0142udzi\u0107 dane karty p\u0142atniczej.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"689\" height=\"1000\" src=\"https:\/\/www.europesays.com\/pl\/wp-content\/uploads\/2025\/12\/fake-email2-689x1000.png\" alt=\"\" class=\"wp-image-53906\" style=\"aspect-ratio:0.6889966664930561;width:457px;height:auto\"  \/><\/p>\n<p>Atakuj\u0105cy posiadaj\u0105c dane rezerwacji ofiar, wysy\u0142aj\u0105 za pomoc\u0105 WhatsApp \/ e-mail fa\u0142szywe wiadomo\u015bci, nak\u0142aniaj\u0105ce do podania danych Waszych kart p\u0142atniczych (pod pozorem potwierdzenia \/ anulowania rezerwacji). <\/p>\n<p>Poni\u017cej zdj\u0119cie, kt\u00f3re otrzymali\u015bmy od jednego z czytelnik\u00f3w (przes\u0142ane do potencjalnej ofiary na WhatsApp \u2013 prawdopodobnie w celu uprawdopodobnienia rozmowy z \u201cprawdziwym hotelem\u201d) <br \/>[Aktualizacja\/uwaga: poni\u017cszy zrzut ekranowy nie pochodzi z system\u00f3w KWHotel; jest to prawdopodobnie inna pr\u00f3ba wy\u0142udzenia danych od osoby dokonuj\u0105cej rezerwacji]<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"1000\" height=\"612\" src=\"https:\/\/www.europesays.com\/pl\/wp-content\/uploads\/2025\/12\/kwhotel-1000x612.png\" alt=\"\" class=\"wp-image-53904\" style=\"aspect-ratio:1.6339763979445645;width:534px;height:auto\"  \/><\/p>\n<ul class=\"wp-block-list\">\n<li>Uwa\u017cajcie na wiadomo\u015bci dotycz\u0105ce rezerwacji noclegu pochodz\u0105ce z dziwnych adres\u00f3w (tj. nie nale\u017c\u0105cych do hotelu \/ obiektu noclegowego)<\/li>\n<li>W razie w\u0105tpliwo\u015bci dzwo\u0144cie do obiektu (na telefon podany na stronie)<\/li>\n<\/ul>\n<p>Aktualizacja 19.12.2025 14:10<\/p>\n<p>W odpowiedzi na nasze pytania zadane do KWHotel \/ Kajware Sp. z o.o. (15.12.2025r.) otrzymali\u015bmy nast\u0119puj\u0105c\u0105 odpowied\u017a (e-mail z dnia 19.12.2025 12:24), kt\u00f3r\u0105 cytujemy w ca\u0142o\u015bci:<\/p>\n<p>Dzia\u0142aj\u0105c w imieniu KajWare Sp. z o.o. przesy\u0142am stanowisko Sp\u00f3\u0142ki dotycz\u0105ce opublikowanych przez Pa\u0144stwo artyku\u0142\u00f3w: z dnia 15 grudnia 2025 r. o tytule \u201eKampania phishingowa i mo\u017cliwy wyciek danych go\u015bci schroniska Murowaniec\u201d (dost\u0119pnego pod adresem https:\/\/sekurak.pl\/kampania-phishingowa-i-mozliwy-wyciek-danych-gosci-schroniska-murowaniec\/#comment-513935), a tak\u017ce artyku\u0142u z dnia 18 grudnia 2025 r. o tytule \u201eW\u0142amanie do polskiego systemu obs\u0142uguj\u0105cego hotele \/ wille \/ obiekty hotelowe [KWHotel]. Wysy\u0142aj\u0105 fa\u0142szywe wiadomo\u015bci do klient\u00f3w.\u201d (dost\u0119pny pod adresem https:\/\/sekurak.pl\/wlamanie-do-polskiego-systemu-obslugujacego-hotele-wille-obiekty-hotelowe-kwhotel\/).<\/p>\n<p>Zaznaczamy, \u017ce przynajmniej drugi z wymienionych artyku\u0142\u00f3w b\u0142\u0119dnie wi\u0105\u017ce nasz\u0105 Sp\u00f3\u0142k\u0119<br \/>(i oferowany przez nas system) z opisanym w nim zdarzeniem (o czym b\u0119dzie mowa ni\u017cej).<\/p>\n<p>W pierwszej kolejno\u015bci informujemy, \u017ce sp\u00f3\u0142ka KajWare Sp. z o.o. w ostatnich dniach sta\u0142a si\u0119 celem serii cyberatak\u00f3w, przeprowadzonych prawdopodobnie przez grup\u0119 ClearSourceData.<\/p>\n<p>Ataki te by\u0142y podzielone na kilka etap\u00f3w i mia\u0142y r\u00f3\u017cny charakter. Na przestrzeni kilku dni atakuj\u0105cy przeprowadzili dwa ataki DDoS, kt\u00f3re doprowadzi\u0142y do czasowego zaprzestania dzia\u0142ania oferowanego przez nas systemu rezerwacyjnego. Jednocze\u015bnie nasz zesp\u00f3\u0142 IT wykry\u0142 na serwerze bazodanowym podejrzane pliki, co sugeruje ingerencj\u0119 atakuj\u0105cych w nasze serwery.<\/p>\n<p>Kilka dni po pierwszym ataku DDoS atakuj\u0105cy przes\u0142ali \u017c\u0105danie okupu, gro\u017c\u0105c jednocze\u015bnie,<br \/>\u017ce w przypadku jego nieop\u0142acenia, b\u0119d\u0105 podejmowali kolejne pr\u00f3by atak\u00f3w. I faktycznie,<br \/>16 grudnia br. przeprowadzili drugi wspomniany atak DDoS. Jednocze\u015bnie nie przedstawili jakichkolwiek dowod\u00f3w (np. pr\u00f3bek baz danych) potwierdzaj\u0105cych, \u017ce s\u0105 w posiadaniu danych pozyskanych z naszych serwer\u00f3w. R\u00f3wnie\u017c po naszej stronie nie wykryto wzmo\u017conego ruchu (transferu danych), kt\u00f3ry m\u00f3g\u0142by sugerowa\u0107 pobranie przez przest\u0119pc\u00f3w baz danych z naszych zasob\u00f3w, aktualnie bierzemy pod uwag\u0119 ewentualn\u0105 mo\u017cliwo\u015b\u0107 pobrania cz\u0119\u015bci danych.<\/p>\n<p>Nasz\u0105 reakcj\u0105 na opisane ataki by\u0142o natychmiastowe przeniesienie zasob\u00f3w bazodanowych do nowego, odseparowanego \u015brodowiska IT, wymuszenie zmiany danych dost\u0119powych do naszego systemu u wszystkich naszych klient\u00f3w (obiekt\u00f3w hotelarskich), obligatoryjne wymuszenie dwusk\u0142adnikowego uwierzytelnienia po stronie wszystkich naszych klient\u00f3w (do tej pory klienci wed\u0142ug w\u0142asnego uznania decydowali czy chc\u0105 skorzysta\u0107 z tej metody uwierzytelnienia) zakrojona na szerok\u0105 skal\u0119 akcja informacyjna skierowana do naszych klient\u00f3w, w tym opracowanie materia\u0142\u00f3w u\u0142atwiaj\u0105cych obiektom hotelarskim zawiadomienie swoich klient\u00f3w o potencjalnym naruszeniu ochrony danych i ostrze\u017cenie ich przed mo\u017cliwymi konsekwencjami (w tym akcjami phishingowymi), opracowanie tre\u015bci zg\u0142oszenia naruszenia ochrony danych osobowych do Prezesa Urz\u0119du Ochrony Danych Osobowych z wype\u0142nionymi przez nas opisami zawieraj\u0105cymi nasze ustalenia odno\u015bnie stwierdzonego incydentu bezpiecze\u0144stwa (to obiekty hotelarskie jako administratorzy danych s\u0105 zobligowane do dokonania zg\u0142oszenia naruszenia), a nawet opracowanie instrukta\u017cu, w jaki spos\u00f3b mo\u017cna zg\u0142osi\u0107 naruszenie ochrony danych osobowych do PUODO. Ponadto przeprowadzili\u015bmy ocen\u0119 skutk\u00f3w potencjalnego naruszenia na prawa podmiot\u00f3w danych, a tak\u017ce uruchomili\u015bmy dedykowan\u0105 telefoniczn\u0105 infolini\u0119 dla naszych klient\u00f3w, aby zapewni\u0107 im mo\u017cliwie szerokie wsparcie informacyjne. Jeste\u015bmy w sta\u0142ym kontakcie z CERT, sprawa zosta\u0142a r\u00f3wnie\u017c zg\u0142oszona do Centralnego Biura Zwalczania Cyberprzest\u0119pczo\u015bci.<\/p>\n<p>Aktualnie nad spraw\u0105 pracuj\u0105 zar\u00f3wno nasi jak i zewn\u0119trzni eksperci, kt\u00f3rzy analizuj\u0105 \u015blady pozostawione po atakuj\u0105cych oraz mo\u017cliwe scenariusze atak\u00f3w.<\/p>\n<p>Na chwil\u0119 obecn\u0105 nie jest wiadome czy i ewentualnie na jak\u0105 skal\u0119 dosz\u0142o do pobrania danych, pragniemy jednak podkre\u015bli\u0107, \u017ce podejmujemy wszelkie mo\u017cliwe dzia\u0142ania, aby spraw\u0119 wyja\u015bni\u0107, a nasze do\u015bwiadczenia wynikaj\u0105ce z do\u015bwiadczanych atak\u00f3w wykorzysta\u0107 do jeszcze lepszego zabezpieczenia danych naszych klient\u00f3w oraz rozwi\u0105za\u0144, kt\u00f3re im oferujemy.<\/p>\n<p>Z pe\u0142n\u0105 stanowczo\u015bci\u0105 chcieliby\u015bmy r\u00f3wnie\u017c podkre\u015bli\u0107, \u017ce nie zamierzamy spe\u0142nia\u0107 \u017c\u0105da\u0144 atakuj\u0105cych zwi\u0105zanych z okupem, poniewa\u017c w naszej ocenie takie dzia\u0142anie by\u0142oby nie tylko skrajnie nieetyczne i de facto \u201enagradza\u0142oby\u201d przest\u0119pc\u00f3w za pope\u0142niane przez nich czyny, ale r\u00f3wnie\u017c dlatego, \u017ce obawiamy si\u0119, i\u017c zap\u0142ata okupu stanowi\u0142aby dla nich swoist\u0105 \u201ezach\u0119t\u0119\u201d do tego, by nasili\u0107 ataki r\u00f3wnie\u017c na inne podmioty z szeroko poj\u0119tej bran\u017cy hotelarskiej.<\/p>\n<p>W tym miejscu pragniemy r\u00f3wnie\u017c podkre\u015bli\u0107, \u017ce dochodz\u0105 do nas doniesienia, kt\u00f3re mog\u0105 \u015bwiadczy\u0107 o wi\u0119kszej liczbie podejmowanych atak\u00f3w w bran\u017cy hotelarskiej, co wydaj\u0105 si\u0119 r\u00f3wnie\u017c potwierdza\u0107 artyku\u0142y opublikowane na \u0142amach Pa\u0144stwa portalu, bowiem w artykule \u201eW\u0142amanie do polskiego systemu obs\u0142uguj\u0105cego hotele \/ wille \/ obiekty hotelowe [KWHotel]. Wysy\u0142aj\u0105 fa\u0142szywe wiadomo\u015bci do klient\u00f3w\u201d zamie\u015bcili\u015bcie Pa\u0144stwo print screen z wewn\u0119trznej zak\u0142adki systemu rezerwacyjnego, kt\u00f3ra nie pochodzi z oferowanego przez nas systemu KWHotel. Nasze systemy nie obs\u0142ugiwa\u0142y przedstawionej w artykule rezerwacji, a dane nigdy nie znajdowa\u0142y si\u0119 na naszych serwerach. Powi\u0105zanie wi\u0119c naszej Sp\u00f3\u0142ki z tym zdarzeniem jest ca\u0142kowicie bezpodstawne i prosimy o dokonanie sprostowania w tym zakresie.<\/p>\n<p>~Micha\u0142 Sajdak<\/p>\n","protected":false},"excerpt":{"rendered":"KWHotel informuje wsp\u00f3\u0142pracuj\u0105ce z nimi obiekty hotelowe : \u201cprawdopodobnie dosz\u0142o do w\u0142amania na jeden z serwer\u00f3w (dev[.]kwhotel[.]pl) Na&hellip;\n","protected":false},"author":2,"featured_media":160498,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[32,33,36,37,27,34,35,28,31,25,42,38,40,39,41,29,30,26],"class_list":{"0":"post-160497","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-naglowki","8":"tag-breaking-news","9":"tag-breakingnews","10":"tag-featured-news","11":"tag-featurednews","12":"tag-headlines","13":"tag-latest-news","14":"tag-latestnews","15":"tag-naglowki","16":"tag-najwazniejsze-artykuly","17":"tag-news","18":"tag-pl","19":"tag-poland","20":"tag-polish","21":"tag-polska","22":"tag-polski","23":"tag-top-stories","24":"tag-topstories","25":"tag-wiadomosci"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@pl\/115747907883327168","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/160497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/comments?post=160497"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/160497\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media\/160498"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media?parent=160497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/categories?post=160497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/tags?post=160497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}