Ogłoszenie ochrona danych osobowych
|
Ogłoszenie - Komunikat z dnia 11.12.2025 Komunikat - Ogłoszenie z dnia 11.12.2025 W dniu 10.12.2025 r. o godz. 20.05 pracownicy KWHotel Kajwer Sp. z o.o. odstawcy oprogarawoania dla obiektów noclegowych międzyinnymi systemów recpcjujnych zauważyli, że prawdopodobnie doszło do włamania na jeden z serwerów. Na serwerze tym znajdowała się baza z danymi klientów (przyjętych rezerwacji).
Opis zdarzenia W dniu 10.12.2025 r. o godz. 20.05 pracownicy KWHotel Kajware Sp. z o.o. odstawcy oprogarawoania dla obiektów noclegowych międzyinnymi systemów recpcjujnych zauważyli, że prawdopodobnie doszło do włamania na jeden z serwerów. Na serwerze tym znajdowała się baza z danymi klientów (przyjętych rezerwacji).
Na zaatakowanym serwerze znaleziono plik uruchamiający skrypt, którego celem miało być nieautoryzowane usunięcie danych na serwerze, plik jednak nie został uruchomiony co sugeruje, że atakujący nie zdążyli podjąć zaplanowanych działań.
Dotychczasowe ustalenia pozwalają przyjąć, że incydent bezpieczeństwa dotyczył tylko środowiska związanego z serwerem.
Informacja od Kajware sp z o.o. dotyczaca danych poniżej które mogły zostać objęte incydentem dotyczą golabalnie wszystkich podmiotów które wspołpracują z Kajware sp. z o.o. W przypadku naszego podamiotu tj. Go Emc2 sp z.o.o działający pod nazwą handlową TriApart zakres danych w bazie danych programy KwHotel nie był jak przedstawiono ponieżej przez Kajware ponieważ nie jest on głownym system dla TriApart na którym jest oparta infrastruktura systemów rezerwacyjnych oraz integracji co zostanie przestawione w dalszej części w " działaniach podjętych przez Go Emc2 Sp. z o.o.
Zakres kategorii danych osobowych jakie potencjalnie mogły zostać objęte incydentem bezpieczeństwa to: - dane Państwa obiektu, - daty rezerwacji i kwoty rezerwacji, - dane gości hotelowych (podane bezpośrednio w rezerwacji, np. imię, nazwisko, adres email, numer telefonu lub inne, które zostały wprowadzone bezpośrednio przez Państwa pracowników przy rezerwacji), - wystawione dokumenty księgowe (faktury, paragony); - hasła umożliwiające zalogowanie w systemie KWHotel.
Informacja od Kajware sp z o.o. :
Działania podjęte przez Spółkę KWHotel Kajware Sp. z o.o. Spółka natychmiast po stwierdzonym incydencie bezpieczeństwa uruchomiła wewnętrzną procedurę reagowania na potencjalne naruszenia ochrony danych osobowych. O zaistniałym zdarzeniu został poinformowany Inspektor Ochrony Danych Spółki, a także podjęto niezbędne środki bezpieczeństwa w obszarze IT – całkowite wyłączenie zaatakowanego serwera i odseparowanie go od sieci publicznej, wymuszenie zmiany haseł dostępowych dla Państwa konta/kont w systemie KWHotel (o czym informowaliśmy w odrębnej komunikacji w dniu dzisiejszym), ponadto uruchomiono bezpłatną infolinię w celu zapewnienia szybkiego wsparcia na Państwa rzecz.
Zważywszy na powagę zdarzenia i potencjalne zagrożenia z nim związane, informujemy również o potencjalnych konsekwencjach dla Państwa klientów, którzy składali rezerwacje za pośrednictwem systemu KWHotel. Do potencjalnych konsekwencji dla podmiotów danych należą możliwe próby wyłudzeń, jakie atakujący mogą podejmować, kontaktując się z Państwa klientami (np. mailowo) i podając się za Państwa pracowników, np. w celu wyłudzenia płatności, danych kart kredytowych lub też danych dostępowych jakimi posługują się klienci.
Na bieżąco monitorujemy sytuację związaną ze stwierdzonym incydentem i w przypadku dodatkowych ustaleń, będziemy je na bieżąco Państwu przekazywać. Jednocześnie w przypadku dodatkowych pytań z Państwa strony informujemy, że istnieje możliwość kontaktu z nami pod
Kolejny komunikat w sprawie od KwHotel Kajware sp. z o.o. w związku z próbami ataków w ostatnim czasie uruchomiliśmy obowiązkową dwuetapową autoryzację we wszystkich kluczowych obszarach systemu KWHotel. Rozumiemy, że częste wpisywanie kodów może być uciążliwe, jednak dziś najważniejsze pozostaje bezpieczeństwo Państwa danych; pracujemy już nad tym, aby kody nie były wymagane przy każdej wizycie na tym samym stanowisku.
Działania podjęte przez Spółkę Go Emc2 sp. z o.o. właściciela marki TriApart użytkownika oprogramowania KwHotel
Dokonanie zgłosznenia UODO. Sprządzenie raportu oraz dokumentu informacyjnego dla klientów "gości". Zamieszczenie publicznej infoirmacji na temat zaistaniłego incydentu. Zamieszczenie pałatnej reklamy w google ads. Próba nawiązania kontaktu serwisami OTA z którymi prowadzimy wsółpracę. Określenie jakich danych mogłbym dotyczyć zagrożenie: Imię oraz nazwisko, Data rezerwacji, Kwota rezerwacji, numer telefonu.
W bazie danych dane teleadredowe takie jak adres zamieszkania , numer rezerwacji , adres email nie były dostępne w bazie. Numer rezerwacji wsytępuje jak zostępczy niepowiązany z numerem serwisu z którego pochodził. Adres e-mail klienta występował jednie jak zaszyforwany adres zastępczy do kumunikacji z gościmi w wewnętrznym systemie rezerwacyjnym z którego rezerwacja pochodziła. W systemach rezerwcyjnych np. booking.com komunikacja właśnie opiera się na zaszyfrowanych zastępczych adresach e-mail które zamist imienia oraz nazwiska używają zapis numeryczny w domenie booking.com i dlatego powyższej bazie danych nie były przesyłane inne dane. Zaszyfrowane zastępcze adresy email są adresami gererowanymi wyłacznie na potrzeby rezerwacji i po jej zakończeniu są blokowane i przesyłanie przez nie wiadmności nie jest możliwe. Wysłanie wiadmości przez adresy zastępcze zaszyforwane do klienta jest wykonaywane wyłacznie przez serwis rezerwacyjny booking.com który również monitoruje i blokuje przesyłanie wiadomości do klientów / gości na ich adres docelowy którego jako podmiot świadczący usługi noclegowe nie znamy. Dodotakowo w systemach rezerwcyjnych jak booking.com expedia.com .... zostało określone iż przez system rezerwacyjny mogą być przekazywane wiadomości jedynie z doment oraz linków wcześniej zdefinowanych i dopuszczonych do komunikacji. Cała kounikacja z goścmi klientami odbywa się przez wewnętrzny system komunkacji serwisów rezerwacyjnych i nie był z połaczony do komunikacji przez system KwHotel którego dotyczy zgłoszony i opisany incydent. Dane fakurowe nie były dostępne, dane płatniości nie były dostępne , dane pesel nie były dostępne, dane teleadresowe nie były dostępne, hasła / loginy nie były dostępne.
System KwHotel nie jest dostępny jak system rezerwacji online lub dla recepcji przez który nie są wprowadzane rezerwacje i nie jest on bezpośrednio połączony z stystemami rezerwacyjnymi OTA jakim są mogą być serwisy booking.com , expedia.com itp. System KwHotel którego dotyczy incydent używany jest do wewnetrznego systemu rozliczeniowego wyłacznnie.
Sprawa możliwego incydentu może dotyczyć rezerwacji byłych, obecnych oraz przyszłych zarejestrowanych do dnia 10.12.2025 r. o godz. 20.05 kiedy nastąpiło wyłaczenie systemu oraz zmiana bazy danych.
Ponieżej treść wiadmość komuniaktu do gościa / klienta jeżeli jesteśmy wstanie uzyskać lub posiadamy adres email który byłby aktywnym adresem do korespondencji. Jeżeli trafiłeś na tą informację prosimy zapoznaj się z nią:
ZAWIADOMIENIE O POTENCJALNYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH
Szanowna Pani, Szanowny Panie,
________________________ /nazwa hotelu/ z siedzibą w ________________________ /adres siedziby/ (dalej jako „Administrator” lub "_________”) dopełniając swoich obowiązków jako administratora danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) niniejszym informuje, że zostało wykryte potencjalne naruszenie ochrony danych osobowych, które mogło dotyczyć Pani/Pana danych osobowych. W związku z tym prosimy o dokładne zapoznanie się z treścią poniższego komunikatu. Opis charakteru potencjalnego naruszenia W dniu 11.12.2025 r. pracownicy naszego dostawcy usług IT, zawiadomili nas, że prawdopodobnie doszło do włamania na jeden z serwerów, na którym znajdowała się baza z danymi naszych Klientów. W bazie tej znajdowały się także Pani/Pana dane z przyjętych rezerwacji. Dotychczasowa weryfikacja zdarzenia nie wykazała, aby atakujący uzyskali bezpośredni dostęp do bazy danych, nie ma również pewności, że Pani/Pana dane zostały pobrane, na ten moment nie można jednak wykluczyć takiej ewentualności. Zakres kategorii danych osobowych jakie potencjalnie mogły zostać objęte incydentem bezpieczeństwa to: · dane naszego obiektu, · daty rezerwacji i kwoty rezerwacji, · dane naszych gości hotelowych (podane bezpośrednio w rezerwacji, np. imię, nazwisko, adres email, numer telefonu lub inne, które wprowadziliście Państwo w rezerwacji), · wystawione dokumenty księgowe (faktury, paragony). Na chwilę obecną nie potwierdzamy, że do Pani/Pana danych osobowych uzyskali dostęp przestępcy, jednakże w celu dochowania należytej staranności oraz przeciwdziałania ewentualnym skutkom stwierdzonego incydentu bezpieczeństwa informujemy o podjętych działaniach, a także możliwych negatywnych dla Pani/Pana skutkach incydentu. Opis możliwych konsekwencji potencjalnego naruszenia ochrony danych osobowych Kierując się daleko idącą ostrożnością informujemy o potencjalnych następstwach w sytuacji gdyby stwierdzono, że doszło do pobrania Pani\Pana danych osobowych przez przestępców. W przypadku potwierdzenia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia ochrony Pani/Pan danych osobowych może być wykorzystanie przez osoby trzecie Pani/Pana danych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą także potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących płatności lub służyć do wyłudzenia dodatkowych Pani/Pana danych, które pierwotnie nie były objęte naruszeniem, co w konsekwencji mogłoby skutkować zaciągnięciem innych zobowiązań, np. dokonywanie zakupów w sieci internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Potencjalnie ujawnione dane mogą także posłużyć w celu założenia na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej), wypożyczania na Pani/Pana dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie. Proponowane działania jakie może Pani/Pan podjąć w celu przeciwdziałania W przypadku podejrzenia wykorzystania Pani/Pana danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją. Prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana (z wykorzystaniem Pani/Pana danych osobowych) przez osoby, które podają się za przedstawicieli naszego hotelu – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco kontaktując się pod adresem wskazanym na końcu niniejszego pisma. W szczególności prosimy zwracać szczególną uwagę na ewentualne próby wyłudzeń poprzez podszywanie się pod naszą tożsamość oraz powoływanie na dane Prosimy również zwracać uwagę na ewentualną korespondencję przekazywaną drogą papierową Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na: - podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR, - podejrzane linki znajdujące się w treści wiadomości, - prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości). Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych Pani/Pana danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości. Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów. Prosimy również zwrócić uwagę na hasła dostępu jakich używa Pani/Pan korzystając z zasobów sieci Internet (np. kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu). W przypadku podejrzenia wykorzystania Pani/Pana danych w sposób nieuprawniony istnieje także możliwość: a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/ b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/ Ze względu na zamieszczony szczegółowy opis prosimy również nie ujawniać treści niniejszego pisma osobom niezaufanym. W takim bowiem wypadku może to ułatwić osobom nieuprawnionym działania mające na celu wykorzystanie Pani/Pana danych osobowych.
Opis zastosowanych środków bezpieczeństwa w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków Niezwłocznie po ujawnieniu opisanego wyżej incydentu, wspólnie z naszym dostawcą usług IT, podjęliśmy działania mające na celu jak najszybsze przeciwdziałanie incydentowi oraz jego potencjalnym skutkom, w szczególności uruchomiliśmy wewnętrzną procedurę reagowania na potencjalne naruszenia ochrony danych osobowych, wyłączyliśmy zasoby IT objęte atakiem, zastąpiliśmy je nowymi, dodatkowo zabezpieczonymi, przeprowadziliśmy weryfikację kont użytkowników, aby mieć pewność, że atakujący nie mają już dostępu do naszych baz danych.
Kontakt z Administratorem danych W przypadku dodatkowych pytań jesteśmy do Pani/Pana dyspozycji. Na bieżąco monitorujemy sytuację związaną ze stwierdzonym incydentem i w przypadku dodatkowych ustaleń, będziemy je na bieżąco Państwu przekazywać. Jednocześnie w przypadku dodatkowych pytań z Państwa strony informujemy, że istnieje możliwość kontaktu z nami pod adresem e-mail: [kontaktowy adres e-mail hotelu] lub telefonicznie: [kontaktowy numer telefonu hotelu]
Z wyrazami szacunku, …………………………………………
Na bieżąco monitorujemy sytuację związaną ze stwierdzonym incydentem i w przypadku dodatkowych ustaleń, będziemy je na bieżąco Państwu przekazywać. Jednocześnie w przypadku dodatkowych pytań z Państwa strony informujemy, że istnieje możliwość kontaktu z nami pod
|
|
|
|
Dear Sir/Madam,
Acting pursuant to the data processing agreement concluded with you, Kajware Sp. z o.o., registered in Kraków, ul. Zbożowa 3 (hereinafter “KW” or the “Company”), as the data processor acting on your behalf, hereby informs you of a personal data security incident identified on 10 December 2025 at 20:05.
The incident may have led to a potential breach of your customers’ personal data. Below, we provide a description of the event and the information required under Article 33(2) of the GDPR. On 10 December 2025 at 20:05, KW employees detected a likely intrusion into one of our servers (. This server contained a database with your customers’ data (accepted reservations). The verification carried out so far has not shown that the attackers obtained direct access to your database, nor is there confirmation that any data was downloaded. However, at this stage, such a possibility cannot be excluded.
A file was found on the compromised server that would have executed a script intended to unlawfully delete data on the server. The file was not executed, which suggests that the attackers did not manage to carry out their planned actions.
Current findings indicate that the security incident was limited solely to the environment associated with the server.
The categories of personal data that could potentially have been affected by the incident include: - details of your property, - hotel guest details (entered directly in the reservation, such as first name, last name, email address, phone number, or any other data provided by your staff), - issued financial documents (invoices, receipts), - passwords used to log into the KWHotel system.
At present, we do not confirm that criminals gained access to the data contained in your database. However, in order to exercise due diligence and mitigate any possible consequences of the incident, we are informing you of the measures taken as well as the potential risks for your customers (understood as data subjects within the meaning of the GDPR).
Measures taken by the Company Immediately after identifying the security incident, the Company activated its internal data breach response procedure. The Company’s Data Protection Officer was informed, and necessary IT security measures were implemented, including: complete shutdown of the compromised server and its isolation from the public network, enforced password reset for your KWHotel account(s) (as communicated to you separately earlier today), and activation of a free support hotline to ensure fast assistance.
Given the seriousness of the incident and the potential risks involved, we also inform you of possible consequences for your customers who made reservations through the KWHotel system.
Potential consequences for data subjects may include attempts by attackers to deceive your customers by contacting them (e.g., via email) while impersonating your staff, with the intention of extorting payments, credit card information, or user login credentials. Other possible consequences may include attempts to fraudulently obtain services or enter into agreements using your customers’ data, identity theft, or creating online accounts (e.g., social media accounts) using their personal information. These risks would only materialize if attackers are indeed in possession of your customers’ data, which has not been confirmed at this stage.
We are continuously monitoring the situation and will keep you informed of any additional findings. Should you have any further questions, please feel free to contact us |