Booking.com potwierdził, że nieuprawnione osoby mogły uzyskać dostęp do części danych związanych z rezerwacjami klientów. Firma nie ujawniła, ilu użytkowników dotknął incydent, ale poinformowała, że wykryła podejrzaną aktywność, podjęła działania ograniczające skutki zdarzenia i zresetowała numery PIN przypisane do objętych nim rezerwacji.
Jakie dane mogły zostać ujawnione
Z komunikatów cytowanych przez media wynika, że dostęp mógł dotyczyć m.in. imion i nazwisk, adresów e-mail, numerów telefonów, szczegółów rezerwacji oraz treści wiadomości wymienianych z obiektem noclegowym. Booking.com przekazał jednocześnie, że dane finansowe nie zostały przejęte. Spółka nie ujawniła też, jak doszło do incydentu ani jak duża jest jego skala.
Największe zagrożenie? Nie sam wyciek, lecz bardzo wiarygodne oszustwa
Choć brak informacji o przejęciu danych kart płatniczych jest dobrą wiadomością, eksperci od cyberbezpieczeństwa zwracają uwagę, że nawet sam zestaw danych rezerwacyjnych może wystarczyć do przygotowania bardzo przekonujących prób oszustwa. Brytyjskie NCSC przypomina, że po wycieku danych cyberprzestępcy często sięgają po phishingowe e-maile, SMS-y i połączenia telefoniczne, które wyglądają jak prawdziwy kontakt od znanej firmy. Z kolei Which? ostrzegało już wcześniej, że oszuści podszywający się pod Booking.com lub obiekty noclegowe potrafią wysyłać wiadomości wyglądające na autentyczne i nakłaniać klientów do „weryfikacji” płatności albo ponownego podania danych karty.
To kolejny sygnał, że branża turystyczna jest pod presją cyberataków
Obecny incydent nie pojawia się w próżni. Microsoft ujawnił w marcu 2025 r., że od końca 2024 r. obserwuje kampanię phishingową podszywającą się pod Booking.com i wymierzoną w firmy z branży hotelarskiej. Atakujący rozsyłali fałszywe wiadomości mające wykradać dane logowania i instalować złośliwe oprogramowanie. Microsoft nie łączy wprost tamtej kampanii z najnowszym incydentem, ale pokazuje ona, że ekosystem turystyczny od dłuższego czasu znajduje się na celowniku cyberprzestępców.
Booking.com ma już podobne doświadczenia
To nie pierwszy poważny problem firmy związany z bezpieczeństwem danych. Europejska Rada Ochrony Danych przypomina, że po wcześniejszym incydencie dotyczącym hoteli w Zjednoczonych Emiratach Arabskich Booking.com został ukarany grzywną 475 tys. euro za zbyt późne zgłoszenie naruszenia. W tamtej sprawie przestępcy uzyskali dostęp do danych 4109 klientów, w tym do części informacji o kartach płatniczych.
Co powinni zrobić użytkownicy
Dla podróżnych najważniejsze jest dziś zachowanie ostrożności. NCSC zaleca, aby po informacji o wycieku nie klikać w linki z podejrzanych wiadomości, samodzielnie kontaktować się z firmą przez jej oficjalną stronę, sprawdzić, czy nie doszło do nietypowej aktywności na kontach, a w razie używania tego samego hasła w kilku miejscach — jak najszybciej je zmienić. Which? przypomina też, że Booking.com nie powinien prosić klientów o przesyłanie danych płatniczych przez e-mail, czat, SMS czy telefon. Każda taka prośba powinna zapalić czerwoną lampkę.
Na razie więcej pytań niż odpowiedzi
Na ten moment Booking.com potwierdził sam incydent, ale nie ujawnił liczby poszkodowanych ani technicznego tła zdarzenia. Dla użytkowników oznacza to jedno: nawet jeśli ich karta nie została przejęta, dane o rezerwacji mogą zostać wykorzystane do kolejnych prób oszustwa. A właśnie takie ataki — oparte na prawdziwych szczegółach podróży — bywają najtrudniejsze do rozpoznania.
Źródła: Booking.com / wypowiedzi spółki cytowane przez TechCrunch, The Guardian, ABC News; National Cyber Security Centre; Microsoft Threat Intelligence; European Data Protection Board; Which?
