תוכנות ריגול נמצאו במחשבי צ'ק-אין בבתי מלון בארה"ב ופרטי אורחים והזמנות נחשפו

25/05/2025

לכתבות נוספות
האם הצוות שלך מודע לסכנות? האם אתה מוודא שצוות המלון מקבל תדרוך שוטף (חודשי או רבעוני) בנושאי אבטחת מידע והסכנות האורבות בכל מייל שנכנס או כל אפליקצייה שמותקנת במחשבי המלון ללא אישור?
 
בכתבה של זאק וויטאקר מהשבוע שעבר באתר techcrunch.com פורסם כי מחשבי הצ'ק-אין במספר מלונות ברחבי ארה"ב מפעילים אפליקציית גישה מרחוק, המדליפה צילומי מסך הכוללים מידע אישי של אורחי המלון לאינטרנט.
אפליקציית תוכנת ריגול ברמת צרכן נמצאה פועלת במערכות הצ'ק-אין של לפחות שלושה מלונות Wyndham ברחבי ארצות הברית. האפליקציה צילמה בגניבה ובאופן מתמשך צילומי מסך של מערכות ההזמנות של המלון, שהכילו פרטי אורח ופרטי לקוחות. צילומי מסך אלו זמינים לכל אחד באינטרנט, לא רק למשתמשים המיועדים של תוכנת הריגול.
תוכנת הריגול pcTattletale מאפשרת לכל מי ששולט בה לצפות מרחוק במכשיר האנדרואיד או ה-Windows של היעד והנתונים שלו, מכל מקום בעולם. היא פועלת באופן בלתי נראה ברקע בתחנות העבודה שלהם ואינה ניתנת לזיהוי. הבאג שנמצא גורם לכך שכל מי שמכיר את ליקוי האבטחה יכול להוריד את צילומי המסך שנלכדו על ידי תוכנת הריגול ישירות מהשרתים של pcTattletale.
לא ידוע מי שתל את האפליקציה או כיצד הוטמעה האפליקציה – למשל, אם עובדי המלון הוטעו להתקין אותה, או אם בעל המלון התכוון שתוכנת הריגול תשמש לניטור התנהגות העובדים. pcTattletale משווקת את עצמה כדרך לנטר עובדים, בין היתר. המקרה הזה נראה כמו דוגמה לאופן שבו מערכות מלונות מטווחות על ידי פושעי סייבר כדי לקבל גישה לחשבונות של המלון.
בכתבה (מצורפת בתגובה הראשונה) יש הסברים על אפליקציית pcTattletale כולל שירות בשם "We Do It For You", שלדברי החברה יסייע להתקין את תוכנת הריגול במחשב היעד מטעם הלקוח.
זוהי רק דוגמה קטנה לנזקים שיכולים לקרות כתוצאה מרשלנות, חוסר מחשבה, בורות או אפילו כתוצאה של פעילות מכוונת.
האם הצוות שלך מודע לסכנות? האם אתה מוודא שצוות המלון מקבל תדרוך שוטף (חודשי או רבעוני) בנושאי אבטחת מידע והסכנות האורבות בכל מייל שנכנס או כל אפליקצייה שמותקנת במחשבי המלון ללא אישור? תדרוכים אלו הם גם חלק מדרישות ה GDPR וביצועם יהווה הגנה עליך במקרה של דליפת מידע כזו או אחרת. צוות הייעוץ שלנו ישמח להגיע ולתדרך את צוות המלון שלך לגבי הסכנות האורבות לו ברחבי האינטרנט ולהסביר כיצד להימנע מפעולות בסיכון. צור איתי קשר היום.

 

⚠️ מה אפשר ללמוד מהאירוע הזה?

  • תוכנות ריגול יכולות להיות מותקנות בכל מקום, וכן, גם על המערכות שלך.

  • כל התקנת תוכנה ללא אישור מנהל מערכות עלולה לפתוח פתח לדליפת מידע.

  • כל דליפת ידע כזו מסכנת את המלון בתביעות ענק עד כדי סיכון הישרדות העסק.

  • אחריות ההנהלה היא לוודא שהצוות מבין את הסיכון ומתודרך באופן שוטף.

🧩 מה ניתן לעשות כבר היום?

  1. לקיים הדרכות קצרות לעובדים – איך לזהות מיילים או קבצים חשודים ואיך לנהוג בשגרה בנושאים אלו.

  2. להגביל הרשאות התקנה במחשבי הצוות.

  3. לוודא שתחנות העבודה מתעדכנות באופן קבוע.

  4. לבצע תדרוך רבעוני או חצי-שנתי בהתאם לדרישות תקן GDPR והנחיות אבטחת מידע בענף המלונאות.

👥 ליווי והדרכה לצוות המלון

צוות Hotel Consulting מעביר מפגשי הדרכה ותדרוכים למנהלים ולעובדי מלון בנושאי אבטחת מידע, שימוש נכון במערכות ממוחשבות, ועמידה בתקנים האירופיים והישראליים.
תדרוך תקופתי אינו רק דרישה רגולטורית – הוא גם ההגנה הטובה ביותר מפני טעויות אנוש.
יש לנו ניסיון מאירועים דומים שקרו במלונות בעולם, השביתו פעילות בבתי מלון לימים ארוכים או פגעו במידע של המלון והצפינו נתונים או שאבו מידע על אורחים כולל פרטים אישיים ומוגנים.

📞 אל תסמוך על המזל שהעסק שלך לא יפגע. צור קשר לתיאום תדרוך או שיחת ייעוץ ראשונית.

אודות הכותב – דוד בוקר
דוד בוקר הוא יועץ אסטרטגי וטכנולוגי למלונאות ולתיירות, בעל ניסיון של שנים בליווי בתי מלון, יזמים וגופים בענף בישראל ובחו״ל. מאמריו מבוססים על עבודה מעשית בשטח, ניתוח מגמות שוק והבנה מעמיקה של האתגרים וההזדמנויות בענף המלונאות. חלק מהתכנים עוסקים גם במוצרים, שירותים וטכנולוגיות המומלצים על ידו או משווקים על ידו, וזאת מתוך ניסיון מקצועי והיכרות עם יישומם בפועל. מאמרים מסוימים משקפים את תמונת המצב והידע כפי שהיו רלוונטיים בעת כתיבתם.

למידע נוסף והתייעצות כיצד ניתן ליישם במלון שלכם טכנולוגיות חדשות ומתקדמות ולכל שאלה אחרת בנושא ניהול, מחשוב ותפעול המלון פנו אליי ואשמח לעזור:

דוד בוקר יועץ לבתי מלון מומחה במלונות צימרים אתרי נופש וארגונים

    שאלות נפוצות על תוכנות ריגול במלונות (FAQ)

    ❓ האם גם מלונות קטנים חשופים לתקיפות מסוג זה?
    כן. דווקא במלונות קטנים, שבהם תחנות מחשב רבות משמשות עובדים שונים, הסיכון גדול יותר, משום שאין בדרך כלל מנהל מערכות ייעודי או בקרה טכנולוגית הדוקה.

    ❓ איך אפשר לדעת אם תוכנת ריגול הותקנה במערכת שלי?
    סימנים אפשריים כוללים האטה משמעותית במחשב, פעילות רשת חריגה או הופעת תוכנות שלא הותקנו ביודעין. מומלץ לבצע בדיקות תקופתיות או תחקיר אבטחת מידע מקצועי.

    ❓ מי נושא באחריות במקרה של דליפת מידע ממערכות המלון?
    האחריות מוטלת בראש ובראשונה על הנהלת המלון הן מבחינה משפטית והן רגולטורית, במיוחד תחת תקנות GDPR והוראות אבטחת מידע בישראל.

    ❓ כל כמה זמן מומלץ לערוך תדרוך לעובדים בנושא אבטחת מידע?
    לפחות אחת לחצי שנה, ובכל פעם שמתווספת מערכת חדשה או מתחלפים עובדים בתפקידים עם גישה למידע רגיש.

    ❓ האם נדרש ידע טכנולוגי כדי להגן על המידע במלון?
    לא. ברוב המקרים נדרש רק ניהול נכון של הרשאות, זהירות בסיסית, ותדרוך תקופתי לכלל העובדים.

    ❓ למה חשוב לנהל הרשאות גישה במערכות המלון?
    ניהול הרשאות הוא אחד המרכיבים הקריטיים בתפעול היומיומי של מערכות המידע במלון. הגדרה נכונה של רמות גישה מאפשרת שליטה טובה יותר בצוות, מונעת טעויות אנוש, ומצמצמת את האפשרות שגורם לא מורשה ייגש למידע רגיש. זהו נושא ניהולי לא פחות מטכנולוגי, והקפדה עליו משפרת גם את היעילות התפעולית של כל המחלקות.

    לייעוץ ראשוני ללא התחייבות
    לייעוץ ראשוני ללא התחייבות
    Scroll to Top