Kampania phishingowa i możliwy wyciek danych gości schroniska Murowaniec

12 grudnia 2025 na stronie Schroniska Murowaniec w Zakopanem pojawiło się ostrzeżenie o “wiadomościach mailowych informujących o możliwości anulacji rezerwacji”, a jednocześnie Wysoka Szatkowski, Postupalski Spółka komandytowa (operator schroniska) opublikowała Zawiadomienie o potencjalnym naruszeniu ochrony danych osobowych.

TLDR:

• Schronisko Murowaniec w Zakopanem ostrzega przed kampanią maili podszywających się pod potwierdzenie rezerwacji.

• Operator obiektu poinformował o możliwym naruszeniu ochrony danych, jednak nie potwierdził jednoznacznie wystąpienia wycieku.
• Do naruszenia mogło dojść w systemie do obsługi rezerwacji, ale nie wiadomo jakich dokładnie danych i ilu klientów to dotyczy.
• Sprawa została zgłoszona do Policji, CERT i UODO. Zalecamy zgłaszanie podejrzanych wiadomości do CERT oraz profilaktyczne zastrzeżenie numeru PESEL.

Rys. 1  – komunikat na stronie murowaniec.com

W komunikacie czytamy, że 10 grudnia 2025 r. jeden z gości schroniska poinformował o podejrzanej wiadomości e-mail, która podszywała się pod Schronisko wymagając potwierdzenia rezerwacji poprzez kliknięcie w link potwierdzający. Na portalu LinkedIn jeden z użytkowników opublikował zrzut ekranu wiadomości rozesłanej najprawdopodobniej w ramach tej samej kampanii:

Rys. 2 – wiadomość podszywająca się pod schronisko, źródło: Stanisław Jesiak na LinkedIn

Operator schroniska wymienił dane, które potencjalnie wyciekły – mowa o:

• danych obiektu,
• datach rezerwacji i kwoty rezerwacji,
• danych gości hotelowych (podane bezpośrednio w rezerwacji, np. imię, nazwisko, adres email, numer telefonu lub inne, wprowadzone przez gości przy rezerwacji),
• wystawionych dokumentach księgowych (faktury, paragony).

Spółka nie potwierdza jednoznacznie, że doszło do naruszenia ochrony danych osobowych, jednak informuje o takiej możliwości. W komunikacie czytamy także:

Przedstawiciele operatora systemu rezerwacyjnego, zawiadomili nas, że prawdopodobnie doszło do włamania na jeden z ich serwerów, na którym znajdowała się baza z danymi naszych Klientów. W bazie tej znajdowały się także Państwa dane z przyjętych rezerwacji. Mamy potwierdzone, że doszło do dostępu do bazy danych, co potwierdza fakt wysłania emaili do części naszych klientów. Wg operatora systemu rezerwacyjnego dotychczasowa weryfikacja nie potwierdziła, aby atakujący uzyskali dostęp do wszystkich danych z bazy danych (nie mają wiedzy jakie i czyje konkretnie dane zostały uzyskane).

Prawdopodobnie systemem rezerwacyjnym, o którym mowa w zawiadomieniu, jest KWHotel. Nie zostało to jednak bezpośrednio wskazane w treści komunikatu. Zwróciliśmy się do operatora usługi – KajWare sp. z o. o. – z prośbą o potwierdzenie, czy wystąpiło takie naruszenie oraz zadaliśmy dodatkowe pytania. Zaktualizujemy artykuł, gdy otrzymamy odpowiedź.

W komunikacie nie wskazano, czy naruszenie objęło też dane gości innych obiektów, więc nie można na ten moment wykluczyć ewentualnej większej skali incydentu. Operator schroniska wskazał, że o zdarzeniu poinformowana została Policja, CERT oraz Prezes Urzędu Ochrony Danych Osobowych.

Nie mamy na ten moment pełnego potwierdzenia wystąpienia wycieku oraz jego faktycznej skali (zarówno w zakresie ilości danych, jak i ilości obiektów, których dotknął). Niewykluczone, że wskazana kampania phishingowa będzie jeszcze rozsyłana. W przypadku otrzymania podobnej wiadomości, polecamy zgłoszenie jej do CERT.

Z uwagi na fakt, że obiekty hotelowe często proszą gości o dane z dokumentów tożsamości, zalecamy profilaktyczne (niekoniecznie pod kątem tego incydentu – nie wiemy czy tego typu dane wyciekły) zastrzeżenie numeru PESEL. Można to zrobić za pomocą Profilu Zaufanego oraz w aplikacji mObywatel.