Booking.com potwierdził niedawno incydent bezpieczeństwa, w którym nieuprawnione osoby mogły uzyskać dostęp do części danych związanych z rezerwacjami klientów. O samym wycieku już pisaliśmy, ale sprawa ma szerszy kontekst: dla podróżnych największym zagrożeniem nie musi być sam fakt ujawnienia danych, lecz to, jak mogą je później wykorzystać cyberprzestępcy.
Nie tylko adres e-mail. Problemem są dane rezerwacji
Według informacji przekazywanych przez Booking.com i opisywanych przez media, dostęp mogły uzyskać osoby trzecie do takich danych jak imię i nazwisko, adres e-mail, numer telefonu, adres, szczegóły rezerwacji oraz informacje przekazane obiektowi noclegowemu. Firma nie podała dokładnej liczby poszkodowanych użytkowników. Booking.com zresetował też numery PIN przypisane do objętych incydentem rezerwacji.
To ważne, bo takie informacje pozwalają oszustom tworzyć bardzo wiarygodne wiadomości. Turysta może dostać komunikat, który wygląda jak wiadomość od hotelu: z prawdziwą datą pobytu, nazwą obiektu i szczegółami rezerwacji.
Największe ryzyko: fałszywe prośby o płatność
Eksperci ds. cyberbezpieczeństwa ostrzegają, że dane rezerwacyjne mogą być wykorzystywane do phishingu, czyli wyłudzania pieniędzy lub danych karty. Scenariusz jest prosty: oszust podszywa się pod hotel, apartament albo samą platformę i prosi o „potwierdzenie rezerwacji”, „dopłatę”, „weryfikację karty” albo kliknięcie w link.
To szczególnie niebezpieczne, bo wiadomość może wyglądać znacznie bardziej przekonująco niż zwykły spam. Jeśli ktoś zna szczegóły podróży, łatwiej wzbudza zaufanie.
Booking.com ostrzega: nie podawaj danych karty poza oficjalnymi kanałami
Booking.com przypomina użytkownikom, by nie przekazywali danych karty kredytowej przez e-mail, telefon, SMS, WhatsApp ani podejrzane linki. W razie wątpliwości najlepiej wejść bezpośrednio do aplikacji lub na stronę Booking.com, a nie korzystać z linku przesłanego w wiadomości.
Warto też skontaktować się z obiektem przez oficjalne dane kontaktowe widoczne w rezerwacji, jeśli pojawia się nietypowa prośba o dopłatę albo ponowne podanie danych płatniczych.
To nie jest odosobniony przypadek w branży turystycznej
Branża turystyczna od dawna jest atrakcyjnym celem dla cyberprzestępców. Rezerwacje hoteli, lotów i atrakcji zawierają dane osobowe, terminy wyjazdów, numery telefonów i często informacje o płatnościach. Niedawno głośno było również o wycieku danych związanym z Eurail/Interrail, gdzie według „The Guardian” naruszenie miało dotyczyć ponad 300 tys. podróżnych, a wśród danych miały znaleźć się m.in. numery paszportów.
To pokazuje, że problem nie dotyczy wyłącznie jednej platformy. Coraz częściej podróżni muszą uważać nie tylko na ceny i warunki rezerwacji, ale również na bezpieczeństwo cyfrowe.
Co powinien zrobić podróżny?
Przede wszystkim nie należy klikać w linki z wiadomości, które proszą o pilną płatność lub weryfikację karty. Najbezpieczniej samodzielnie wejść na konto Booking.com i sprawdzić, czy w rezerwacji widnieje jakikolwiek komunikat.
Warto też:
-sprawdzić aktywne rezerwacje,
-zmienić hasło do konta,
-włączyć uwierzytelnianie dwuskładnikowe, jeśli jest dostępne,
-monitorować transakcje na karcie,
-zachować ostrożność wobec wiadomości z WhatsAppa i SMS-ów,
-zgłaszać podejrzane wiadomości bezpośrednio platformie.
Podróżni powinni być szczególnie czujni przed sezonem
Sprawa jest istotna zwłaszcza teraz, gdy wielu turystów planuje majówki, city breaki i wakacyjne wyjazdy. Im bliżej terminu podróży, tym łatwiej oszustowi wywołać presję: „zapłać teraz, inaczej rezerwacja zostanie anulowana”.
Dlatego zasada jest prosta: jeśli wiadomość dotycząca noclegu wymaga natychmiastowej płatności, podania danych karty albo kliknięcia w zewnętrzny link, należy traktować ją podejrzliwie. Nawet jeśli zawiera prawdziwe dane rezerwacji.
Źródła: The Guardian, ABC News, Skift, Malwarebytes, Which?, Booking.com, Bitdefender
