O zaistniałej sytuacji zostało zawiadomione CSIRT NASK, złożyliśmy także zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych oraz Prokuratury.

Co się wydarzyło?

1. W czwartek 30 października zostało wykryte naruszenie polegające na nieuprawnionym dostępie do danych osobowych klientów Nowa Itaka spółka z o.o., którzy posiadają konto użytkownika w Strefie Klienta.
2. Przedmiotem ataku był system informatyczny. Osoba, która przeprowadziła atak, uzyskała nieautoryzowany dostęp do części danych użytkowników posiadających konta w Strefie Klienta.

Do jakich danych uzyskano dostęp w wyniku ataku?

1. Wśród danych, które zostały pozyskane przez osobę nieuprawnioną, znajdują się: adresy e-mail, opcjonalnie imiona i nazwiska, opcjonalnie numery telefonów oraz hashe haseł powiązane z zarejestrowanymi kontami użytkowników. Co ważne, na podstawie tych danych nie ma możliwości bezpośredniego zalogowania się do Strefy Klienta ani do innych systemów.
2. Obecnie wiemy, że dane dotyczą grupy 10 tysięcy użytkowników, potencjalnie skala wycieku może być większa.
3. Podkreślamy, że osoby nieuprawnione nie uzyskały dostępu do danych dotyczących rezerwacji (w tym danych finansowych i informacji o uczestnikach wyjazdów) – te dane są bezpieczne.

Jakie kroki podjęliśmy?

1. Natychmiast po uzyskaniu informacji o wystąpieniu ryzyka uzyskania dostępu do danych przez osobę nieuprawnioną, nasz zespół ekspertów podjął działania mające na celu zabezpieczenie danych Klientów Nowa Itaka spółka z o.o. i ograniczenie skutków naruszenia.
2. Przeprowadziliśmy szczegółowy skan bezpieczeństwa systemów i oprogramowania w celu identyfikacji przyczyn naruszenia oraz wzmocnienie środków ochronnych.
3. Aby zapobiec dalszym zagrożeniom zamknęliśmy dostęp do Strefy Klienta i monitorujemy w sposób ciągły nasze systemy w celu wykrycia potencjalnych ryzyk i innej aktywności ze strony hakerów.
4. Udostępniliśmy bezpieczny dostęp do rezerwacji po zalogowaniu w Strefie Rezerwacji na https://www.itaka.pl/strefa-klienta/
5. Incydent został zgłoszony do odpowiednich organów.

Jakie mogą być konsekwencje ataku?

1. Osoby nieuprawnione mogą próbować wykorzystać pozyskane informacje (imię i nazwisko, adres e-mail, numer telefonu), aby uzyskać dostęp do Państwa kont prowadzonych w innych serwisach i aplikacjach.
2. Mogą otrzymywać Państwo niezamówione informacje handlowe (niechciane połączenia telefoniczne, spam otrzymywany na adres e-mail).
3. Osoby nieuprawnione mogą próbować wykorzystać Państwa adres e-mail i numer telefonu do prób wyłudzenia danych osobowych (podszywając się pod zaufane instytucje czy pracowników spółki Nowa Itaka spółka z o.o.).

Co zalecamy, aby chronić swoją prywatność?

1. Zmienić hasło wykorzystywane dotychczas do logowania do Strefy Klienta.
2. Jeśli wykorzystują Państwo to samo hasło w innych miejscach (np. sklepy internetowe, portale społecznościowe, poczta), zalecamy zmianę hasła.
3. Zachować szczególną ostrożność w przypadku połączeń telefonicznych z nieznanych numerów - zalecamy weryfikację danych rozmówcy zanim potwierdzą lub przekażą Państwo swoje dane.
4. Zachować wzmożoną czujność wobec prób wyłudzania informacji, które mogą wykorzystywać nazwę Nowa Itaka spółka z o.o. (np. pod pretekstem aktualizacji danych logowania).
5. Zachować ostrożność w przypadku otrzymania wiadomości e-mail z nieznanych źródeł – szczególnie w przypadku wiadomości zawierających podejrzane linki lub prośby o zalogowanie na konto, podanie dodatkowych danych.

Co mogę jeszcze zrobić?
Jeśli mają Państwo jakiekolwiek pytania dotyczące incydentu, uprzejmie prosimy o kontakt z naszym Centrum Obsługi Klienta pod adresem cok@itaka.pl.
Przepraszamy za wszelkie niedogodności. Dokładamy wszelkich możliwych starań, aby zminimalizować skutki incydentu.