Sektor ugostiteljstva i turizma u Evropi suočava se s talasom visokotehnoloških sajber napada koji redefinišu bezbednosni pejzaž ove industrije. Istraživački timovi za sajber bezbednost, uključujući Cybernews, otkrili su seriju bezbednosnih incidenata i otvorenih servera koji svedoče o široko rasprostranjenoj, koordinisanoj kampanji čija su meta sistemi za upravljanje smeštajem, hoteli, privatni stanodavci i, u krajnjem ishodu, milioni gostiju.

Dva odvojena ali povezana bezbednosna otkrića rasvetljavaju razmere ove pretnje: s jedne strane, otkrivanje izloženih servera sa desetinama miliona zapisa evropskih hotelskih lanaca i platformi za rezervaciju, a sa druge, sofisticirane fišing operacije koje koriste maliciozne automatizovane skripte i inovativne društvene inženjering taktike poput “ClickFix” tehnike i simulacije sistemskih grešaka.

1. Hronologija i razmere kompromitacije podataka

Analiza bezbednosnih incidenata ukazuje na to da napadači ne ciljaju samo pojedinačne hotele, već ekosistem trećih strana (Third-Party Vendors) – provajdere softvera za automatizaciju prijave gostiju i sisteme za upravljanje imovinom (Property Management Systems – PMS).

Slučaj izloženog servera aktera pretnji (Proleće 2026)

Bezbednosni istraživači su locirali otvoreni, nezaštićeni server koji je pripadao nepoznatom sajber kriminalnom akteru. Na ovom serveru nalazilo se oko 6,5 gigabajta (GB) strukturisanih podataka sa bazom koja je direktno ugrozila blizu 5 miliona korisnika i gostiju.

Istraga je pokazala da su podaci izvučeni iz preko 170 ugostiteljskih objekata širom sveta, sa primarnim fokusom na Evropu. Kompromitovani podaci su prikupljeni direktno sa softverskih platformi koje hoteli masovno koriste:

Chekin: Španska platforma specijalizovana za automatizaciju procesa prijave gostiju (check-in). Curenje podataka sa ove platforme izložilo je oko 311.400 zapisa, uključujući 133.900 jedinstvenih e-mail adresa i čak 253.000 brojeva ličnih dokumenata (pasoša i ličnih karata).

Gastrodat: Austrijski provajder softvera za upravljanje hotelskim poslovanjem, iz čijih je sistema ekstrahovan ogroman volumen podataka o rezervacijama.

Ukupno je unutar ovog seta podataka identifikovano preko 400.000 pojedinačnih rezervacija. Među procurelim informacijama nalaze se imena gostiju, datumi boravka, identifikacione oznake rezervacija (Reservation IDs), adrese objekata, ali i interne bezbednosne oznake (safety flags) koje same platforme koriste za profilisanje rizika korisnika.

Incident sa evropskim hotelskim lancima (Slučaj Honotel / Kardex)

U gotovo isto vreme, identifikovan je još veći incident povezan sa nezaštićenom bazom podataka za koju se sumnja da pripada infrastrukturi francuske grupacije za investicije i upravljanje u ugostiteljstvu Honotel (ili entitetu Kardex).

Inicijalna baza je sadržala preko 38 miliona zapisa. Nakon čišćenja duplikata i test-podataka (“dummy entries”), potvrđeno je curenje 24.777.984 realnih korisničkih zapisa. Set podataka je obuhvatao:

Puna imena, e-mail adrese i brojeve telefona gostiju.

Datume rođenja, kodove zemalja i jezičke preferencije.

Detaljne informacije o boravcima: vreme dolaska, broj rezervisanih noćenja, plaćene cene i broj gostiju u pratnji.

Podatke o lojaliti programima i nagradnim poenima.

Ovakva količina visoko specifičnih podataka omogućava napadačima kreiranje profila žrtava sa hirurškom preciznošću.

2. Tehnološka infrastruktura napada: Automatizacija preko API-ja

Ono što ove incidente razlikuje od tradicionalnih, izolovanih fišing napada jeste visok nivo automatizacije i upotreba naprednog softverskog alata od strane sajber kriminalaca.

Na zaplenjenim i analiziranim serverima napadača pronađene su namenski pisane Python skripte dizajnirane za masovnu eksploataciju API-ja softvera za rezervacije.

+————————+      Kompromitovani kredencijali      +————————–+

|  Napadač / C2 Server   | ====================================> |  Hotelski nalozi (527)   |

+————————+                                       +————————–+

            ||                                                                ||

            || Pokretanje automatizovanih                                     || Autentifikacija

            || Python skripti                                                 || na platforme

            \/                                                                \/

+————————+                                       +————————–+

| Hardkodovani API       | ————————————> | Booking platforme        |

| endpointi i ključevi   |                                       | (Chekin / Gastrodat)     |

+————————+                                       +————————–+

            ||                                                                ||

            || Eksfiltracija podataka                                         || Slanje podataka

            \/                                                                \/

+——————————————————————————————-+

|     BAZA PODATAKA: 5M+ gostiju, finansijski detalji, brojevi pasoša, istorija putovanja    |

+——————————————————————————————-+

Mehanizam delovanja skripti:

Zloupotreba legitimnih naloga: Istražitelji su utvrdili da su napadači preuzeli kontrolu nad najmanje 527 legitimnih naloga koji pripadaju hotelima i privatnim stanodavcima na pomenutim platformama. Do ovih naloga su došli inicijalnim fišing napadima na osoblje hotela.

Ekstrakcija putem API ključeva: Unutar Python skripti bili su hardkodovani specifični API endpointi i pristupni ključevi. Skripte su automatski slale upite sistemima Chekin i Gastrodat, povlačeći kompletne baze podataka o gostima bez potrebe za ručnim pretraživanjem interfejsa.

Kreiranje sekundarnih baza: Prikupljeni podaci su skladišteni na eksternim serverima napadača i korišćeni kao gorivo za sledeću fazu napada – ciljani fišing (Spear-Phishing).

3. Napredne fišing kampanje: Strategija “Lažnog plavog ekrana” (BSOD)

Paralelno sa curenjem podataka, zabeležen je talas sofisticiranih fišing kampanja usmerenih ka evropskim hotelima i motelima. Prema izveštajima kompanija za bezbednost, kao što je Securonix, napadači koriste psihološki pritisak kombinovan sa tehnički inovativnim metodama infekcije.

Anatomija “Reservation Cancellation” napada

Kampanja primarno cilja zaposlene na recepcijama i u odeljenjima za rezervacije. Napad se odvija u nekoliko faza:

Inicijalni e-mail sa visokim ulogom: Žrtva prima e-mail, najčešće sa naslovom “Reservation Cancellation” (Otkazivanje rezervacije). Kako bi se stvorio maksimalan osećaj hitnosti i panike, u poruci se navode fiktivni troškovi otkazivanja koji često premašuju 1.000 evra. E-mailovi se uglavnom šalju sa besplatnih servisa poput Gmail-a, pri čemu se prikazano ime pošiljaoca maskira da izgleda legitimno, dok se detalji poruke generišu pomoću veštačke inteligencije (AI) radi uklanjanja gramatičkih grešaka.

Lažna Booking stranica: Unutar imejla nalazi se dugme “See Details” (Pogledaj detalje). Klikom na dugme, korisnik se preusmerava na malicioznu veb-stranicu koja vizuelno u potpunosti kopira legitimne portale poput Booking.com. Na stranici se prikazuje animacija učitavanja i lažna poruka o grešci: “Loading is taking too long” (Učitavanje traje predugo), sa uočljivim dugmetom “Refresh page”.

Simulacija “Plavog ekrana smrti” (BSOD): Kada korisnik klikne na osvežavanje stranice, skripta u pretraživaču pokreće animaciju preko celog ekrana koja simulira čuveni Windows fatalni krah (Blue Screen of Death). Ova taktika ima za cilj da dezorijentiše žrtvu i natera je da prati uputstva za “rešavanje problema”.

“ClickFix” socijalni inženjering: Na ekranu se pojavljuje uputstvo koje traži od korisnika da pritisne kombinaciju tastera (npr. Windows + R), kopira ponuđeni maliciozni kôd iz privremenog pamćenja (clipboard) i pokrene ga u Windows komandnoj liniji kako bi navodno “popravio mrežni drajver pretraživača”.

Izvršavanje koda i infekcija: Pokretanjem te komande, žrtva zapravo ručno pokreće PowerShell skriptu koja zaobilazi Windows Defender, uspostavlja vezu sa kontrolnim serverom napadača i preuzima DCRat (DarkCrystal RAT) – trojanac za udaljeni pristup. Dok se infekcija odvija u pozadini, skripta kao varku otvara stvarni, legitimni portal za rezervacije kako korisnik ne bi posumnjao da je hakovan.

4. Analiza rizika i implikacije za industriju

Ovaj talas napada predstavlja sistemski rizik za evropsku ugostiteljsku industriju, sa implikacijama koje prevazilaze trenutnu finansijsku štetu.

Rizici po goste (Krajnje korisnike)

Za blizu 30 miliona građana čiji su podaci izloženi kroz ove incidente, rizik je dugoročan:

Ciljane prevare (Spear-Phishing): Sa podacima o tačnom datumu boravka, ceni i broju sobe, napadači mogu kontaktirati goste putem aplikacija poput WhatsApp-a ili SMS-a, pretvarajući se da su recepcija hotela, i zahtevati “hitnu potvrdu kreditne kartice pod pretnjom otkazivanja smeštaja”.

Krađa identiteta: Kombinacija imena, datuma rođenja i brojeva pasoša/ličnih karata omogućava kriminalcima otvaranje lažnih naloga i sprovođenje finansijskih prevara.

Rizici po hotele i platforme

Regulatorne kazne (GDPR): Evropska regulativa o zaštiti podataka o ličnosti predviđa drakonske kazne za kompanije koje ne obezbede adekvatne mere zaštite ili ne prijave curenje podataka u roku od 72 sata. Za lance poput Honotela ili partnere platformi Chekin i Gastrodat, ovo može značiti milionske kazne.

Gubitak reputacije: Poverenje je ključna valuta u ugostiteljstvu. Kompromitacija podataka o kretanju i ličnim dokumentima gostiju direktno utiče na pad broja rezervacija i gubitak korporativnih klijenata.

5. Strategija odbrane i preporučene mere bezbednosti

Robusna odbrana od ovako strukturisanih napada zahteva višeslojni pristup koji pokriva i ljudski faktor i tehničke bezbednosne kontrole.

Tehničke kontrole za IT administratore u ugostiteljstvu

Obavezna implementacija MFA (Multi-Factor Authentication): Svaki nalog koji ima pristup PMS-u ili eksternim platformama (Booking, Chekin, Gastrodat) mora imati aktiviranu višefaktorsku autentifikaciju. Ovo eliminiše mogućnost da napadač zloupotrebi nalog preko Python skripti čak i ako je uspešno ukrao lozinku putem fišinga.

Restrikcija API pristupa (IP Whitelisting): Pristup API endpointima sistema za rezervaciju mora biti ograničen isključivo na poznate, statičke IP adrese hotelskih objekata i ovlašćenih servera. Svaki pokušaj pristupa sa nepoznate IP adrese (kakvi su bili serveri napadača) mora biti automatski blokiran i alarmiran.

Blokiranje sumnjivih skripti na radnim stanicama: Preko polisa grupe (Group Policy), administrativno treba blokirati mogućnost običnim korisnicima (poput osoblja na recepciji) da izvršavaju PowerShell ili Command Prompt komande. Takođe, softver za zaštitu krajnjih tačaka (EDR) mora biti konfigurisan da prepoznaje i blokira specifične anomalije u ponašanju pretraživača (kao što je kopiranje koda u Run dijalog).

Edukacija i podizanje svesti zaposlenih (Security Awareness)

S obzirom na to da se napadi oslanjaju na prevaru osoblja, edukacija je prva linija odbrane:

Protokol za verifikaciju hitnih zahteva: Zaposleni moraju biti obučeni da nikada ne postupaju po instrukcijama iz imejlova koji zahtevaju instalaciju softvera ili pokretanje komandi. Ako gost navodno otkazuje rezervaciju uz visoke troškove, validnost se mora proveriti direktno unutar internog PMS sistema, a ne klikom na eksterne linkove.

Prepoznavanje “ClickFix” šablona: Osoblje mora znati da nijedan legitiman sajt (uključujući Booking.com) nikada neće tražiti od korisnika da pritisne tastere Windows + R i kopira kôd kako bi rešio problem sa učitavanjem stranice.

6. Matrica prioriteta i akcioni plan za ugostiteljske objekte

Za hotele i menadžment kompanije u Evropi predlaže se hitno sprovođenje sledećeg akcionog plana:

PrioritetCiljna grupa / SistemPreporučena meraCilj mere
KritičanNalozi na platformama (Booking, Chekin, Gastrodat)Trenutna promena lozinki i aktivacija MFA na svim nivoima.Sprečavanje skripti napadača da koriste kompromitovane kredencijale za krađu podataka.
VisokRačunari na recepcijama i rezervisani terminaliInstalacija naprednog EDR alata i zabrana pokretanja komandne linije za standardne korisnike.Neutralisanje “ClickFix” i BSOD kampanja koje preuzimaju kontrolu nad radnim stanicama.
SrednjiBaza podataka gostiju i istorija boravakaSprovođenje interne revizije (Audit) unutar sistema da bi se utvrdilo da li je bilo neovlašćenih API poziva u proteklih 180 dana.Pravovremeno identifikovanje eventualnog curenja podataka radi usklađivanja sa GDPR regulativom.
KontinuiranZaposleni (Recepcija, Rezervacije, Korisnička podrška)Sprovođenje simulacija fišing napada sa fokusom na prevare sa otkazivanjem rezervacija.Podizanje budnosti osoblja u direktnom kontaktu sa potencijalno malicioznim sadržajem.

Zaključak

Serija napada na evropsku ugostiteljsku industriju u 2026. godini jasno pokazuje da su sajber kriminalci evoluirali od bazičnih prevara ka masovnoj, automatizovanoj industrijskoj eksploataciji podataka. Ranjivost ovog sektora ne leži u snazi same enkripcije, već u kompleksnosti lanca snabdevanja softverom i podložnosti ljudskog faktora manipulaciji pod pritiskom.

Hotelski lanci i nezavisni operateri više ne mogu posmatrati sajber bezbednost kao sekundarno pitanje IT odeljenja. Bez implementacije nulte stope poverenja (Zero Trust) prema eksternim API zahtevima i rigorozne kontrole privilegija na radnim stanicama zaposlenih, ugostiteljski sektor će ostati jedna od najprofitabilnijih meta na crnom tržištu podataka.

Leave a Reply