4 min read

Wyciek danych gości polskich hoteli — atak na system rezerwacyjny Hotres tuż przed wakacjami

Table of Contents

Początek lipca to szczyt sezonu rezerwacji wakacyjnych — i właśnie w tym momencie doszło do jednego z bardziej dotkliwych dla zwykłych ludzi incydentów tego lata. Ujawniony 3 lipca 2026 roku wyciek dotknął system Hotres, popularne narzędzie do obsługi rezerwacji, z którego korzysta ponad 2000 polskich hoteli, pensjonatów i apartamentów na wynajem krótkoterminowy. Napastnicy dostali się do danych osób, które zarezerwowały nocleg na lipiec i sierpień, a skradzione informacje niemal natychmiast trafiły do oszustów.

Jak doszło do włamania

Atak przeprowadzono techniką SQL injection — jedną z najstarszych i najlepiej opisanych metod w podręcznikach bezpieczeństwa. Polega ona na tym, że napastnik wstrzykuje w pola formularza spreparowane zapytanie do bazy danych, dzięki czemu wyciąga z niej dane, do których nie powinien mieć dostępu. Z ustaleń wynika, że atak prowadzono z poziomu zalogowanego konta jednego z klientów systemu — cyberprzestępca prawdopodobnie wcześniej zdobył czyjeś dane logowania, a następnie z wielu niezależnych adresów IP masowo odpytywał bazę.

Łupem padły dane około dwóch tysięcy rezerwacji, głównie tych wakacyjnych. Napastnik celowo szukał pobytów zaplanowanych na lipiec i sierpień, bo to one dają największą szansę na skuteczne oszustwo „na dopłatę”.

Jakie dane wyciekły

Skradzione rekordy zawierały imię i nazwisko gościa, adres e-mail, numer telefonu, daty pobytu oraz kwotę rezerwacji. Hotres podkreśla, że w systemie nie były przechowywane dane kart płatniczych, więc te nie zostały ujawnione. Problem w tym, że sam zestaw pozostałych informacji w zupełności wystarcza do przygotowania wyjątkowo wiarygodnego oszustwa.

Oszuści już działają

To, co odróżnia ten wyciek od wielu innych, to tempo, w jakim dane zostały wykorzystane. Ofiary niemal od razu zaczęły otrzymywać SMS-y i wiadomości na WhatsAppie od osób podszywających się pod hotel, w którym faktycznie zarezerwowały pobyt. Przestępcy znają nazwisko, termin i kwotę rezerwacji, więc wiadomość brzmi przekonująco — najczęściej pojawia się prośba o „potwierdzenie rezerwacji”, „dopłatę zaliczki” albo „ponowne podanie danych karty”, pod groźbą anulowania noclegu. Ofiara, widząc prawdziwe szczegóły swojej rezerwacji, łatwo daje się nabrać i sama wpisuje dane karty na podstawionej stronie.

Jak się chronić

Podstawowa zasada brzmi: żaden uczciwy hotel nie poprosi Cię o dane karty przez SMS ani WhatsAppa. Jeśli dostaniesz taką wiadomość, nie klikaj w żaden link i nie podawaj żadnych danych. Zamiast tego skontaktuj się z obiektem bezpośrednio, dzwoniąc pod numer znaleziony samodzielnie na oficjalnej stronie, a nie ten podany w podejrzanej wiadomości.

Zachowaj szczególną czujność wobec wszelkich próśb o „dopłatę” czy „ponowne potwierdzenie płatności” — to klasyczny scenariusz tego oszustwa. Warto też włączyć w aplikacji bankowej powiadomienia o transakcjach oraz ustawić rozsądne limity na płatności internetowe, żeby ograniczyć ewentualne straty. Jeśli podałeś już dane karty, natychmiast ją zastrzeż i zgłoś sprawę do banku.

Właściciele obiektów korzystających z Hotresa powinni z kolei bezzwłocznie zmienić hasła do swoich kont, włączyć uwierzytelnianie dwuskładnikowe, jeśli jest dostępne, i ostrzec gości, że mogą stać się celem prób oszustwa.

Podsumowanie

Wyciek z Hotresa pokazuje, że najgroźniejsze nie zawsze są wyrafinowane techniki — tu wystarczyła znana od lat luka SQL injection i przejęte konto klienta. Prawdziwe zagrożenie zaczyna się jednak dopiero po wycieku: mając komplet danych o rezerwacji, oszust potrafi zbudować wiadomość, która wygląda na w pełni autentyczną. Dlatego najlepszą obroną jest prosta zasada — dane karty podajemy wyłącznie na oficjalnej stronie obiektu lub w rozmowie, którą sami zainicjowaliśmy, i nigdy w odpowiedzi na SMS czy wiadomość na komunikatorze.

źródło: https://niebezpiecznik.pl/post/wyciek-danych-gosci-wielu-polskich-hoteli/