Przebieg incydentu i skala wycieku
Platforma Otelier, specjalizująca się w zarządzaniu operacjami hotelowymi, stała się celem zaawansowanego ataku, który ujawnił poważne niedociągnięcia w zabezpieczeniach środowiska chmurowego Amazon S3. Do pierwszego naruszenia doszło w lipcu 2024 r., a przestępcy mieli dostęp do systemu aż do października. Cyberprzestępcy pobrali 7,8 TB danych, obejmujących m.in. rezerwacje gości, raporty nocne oraz wewnętrzną dokumentację sieci Marriott, Hilton i Hyatt.
Otelier, wcześniej znany jako MyDigitalOffice, obsługuje ponad 10 000 hoteli na całym świecie. Skala wycieku zrodziła obawy o bezpieczeństwo danych wrażliwych klientów i partnerów korporacyjnych. W odpowiedzi na incydent Otelier wydał oświadczenie: „Naszym najwyższym priorytetem jest ochrona naszych klientów przy jednoczesnym zwiększeniu bezpieczeństwa naszych systemów, aby zapobiec przyszłym problemom.”
Jak hakerzy przełamali zabezpieczenia?
Analiza incydentu ujawnia wieloetapowy atak, w którym cyberprzestępcy wykorzystali dane uwierzytelniające skradzione za pomocą złośliwego oprogramowania typu infostealer. Uzyskali dostęp do serwera Atlassian Otelier, co pozwoliło im zdobyć dodatkowe dane logowania do chmury AWS. Kluczowe konta Amazon S3, w tym te przechowujące dokumenty sieci Marriott, zostały przejęte i wykorzystane do wycieku danych.
Próbki skradzionych danych, udostępnione przez BleepingComputer oraz Troy’a Hunta, zawierają m.in. imiona, nazwiska, adresy e-mail, numery telefonów, a także szczegóły rezerwacji. Łącznie, tabela użytkowników zawierała 212 milionów wierszy danych, z których 1,3 miliona to unikalne adresy e-mail. Troy Hunt skomentował sytuację: „Udało się zidentyfikować około 437 000 unikalnych adresów e-mail, po odfiltrowaniu danych generowanych przez systemy takie jak Booking.com i Expedia.com.”
Reakcja firm i rekomendacje dla branży
Otelier podjął działania naprawcze, w tym zawieszenie naruszonych kont i współpracę z ekspertami ds. cyberbezpieczeństwa. Marriott natomiast wstrzymał automatyczne usługi świadczone przez Otelier, podkreślając, że ich systemy nie zostały bezpośrednio naruszone. „Marriott podjął odpowiednie środki ostrożności, w tym zawieszenie zautomatyzowanych usług świadczonych przez Otelier do czasu zakończenia dochodzenia” – poinformował rzecznik sieci.
Mimo braku dowodów na kradzież haseł czy danych finansowych, skradzione informacje mogą posłużyć do precyzyjnych ataków phishingowych. Kluczowe rekomendacje dla specjalistów ds. cyberbezpieczeństwa obejmują:
- Wzmacnianie systemów uwierzytelniania – stosowanie MFA (Multi-Factor Authentication) i monitorowanie użycia danych uwierzytelniających.
- Regularne audyty chmurowe – kontrola dostępu i zabezpieczeń w środowiskach takich jak Amazon S3.
- Edukacja użytkowników – szkolenia z zakresu rozpoznawania zagrożeń phishingowych oraz odpowiedzialnego korzystania z zasobów IT.
Wnioski dla branży
Incydent w Otelier to kolejny przykład, jak istotne jest zarządzanie danymi w chmurze i monitorowanie aktywności w czasie rzeczywistym. Cyberprzestępcy wykorzystują luki nie tylko technologiczne, ale również proceduralne. Zabezpieczenia w formie proaktywnej analizy zagrożeń oraz wdrażanie zasad „Zero Trust” powinny stać się standardem w ochronie danych.
W dobie cyfrowej transformacji zarządzanie ryzykiem wymaga nie tylko zaawansowanych technologii, ale również odpowiedniej kultury bezpieczeństwa w organizacjach. Warto, by incydent Otelier był ostrzeżeniem dla całej branży.
