Booking.com підтвердив: стороні особи отримали доступ до персональних даних клієнтів — імен, email-адрес, номерів телефонів і деталей бронювань. Про це стало відомо з повідомлень, які сервіс почав розсилати постраждалим користувачам протягом останнього тижня.
Що саме витекло — і чого не витекло
За даними TechCrunch, у листах компанія вказує: скомпрометована інформація може включати «деталі бронювання, імена, email, номери телефонів, а також усе, що ви передавали безпосередньо об'єкту розміщення». Фізичні адреси в остаточній версії заяви Booking.com виключила — представник компанії уточнив для TechCrunch, що вони не були отримані зловмисниками. Платіжні дані та паролі також не постраждали.
Здавалося б, обмежений набір. Але саме тут — головна пастка.
Чому «неповний» витік небезпечніший за повний
Один із постраждалих користувачів розповів TechCrunch, що ще за два тижні до офіційного сповіщення отримав фішинговий запит у WhatsApp — і повідомлення містило точні деталі його бронювання. Шахрай знав дату, готель, суму. Знав достатньо, щоб здатися легітимним.
«Навіть коли платіжні дані не викрадено, такий витік залишається серйозною загрозою для мандрівників. Поточна небезпека — друга хвиля шахрайств».
Адріанус Варменховен, експерт з кібербезпеки NordVPN, для Travel Weekly
Це класична схема: зловмисники не намагаються одразу зламати банківський рахунок. Вони будують довіру через контекст — і просять картку вже «в розмові», де жертва не підозрює небезпеки. Booking.com у своєму листі попередив: компанія ніколи не просить номер картки через email, телефон, SMS або WhatsApp.
Що відомо про масштаб і джерело
Booking.com обслуговує понад 28 мільйонів об'єктів розміщення по всьому світу та є одним із найбільших тревел-агрегаторів. Проте точну кількість постраждалих користувачів компанія не розкрила. Як зазначає Security Affairs, наразі незрозуміло навіть те, чи були скомпрометовані власні системи Booking.com, чи атака відбулася через треті сторони — наприклад, через готелі або партнерів платформи.
Компанія запевнила, що «одразу вжила заходів для локалізації інциденту» і повідомляє лише тих клієнтів, чиї дані потенційно постраждали.
Що робити прямо зараз
- Ігнорувати будь-які повідомлення у WhatsApp або SMS від «Booking.com» з проханням підтвердити платіж або ввести картку.
- Перевіряти всі запити виключно через офіційний застосунок або сайт — не переходячи за посиланнями з листів.
- Бути особливо уважними, якщо хтось у листуванні знає точні деталі вашого бронювання: це не доводить легітимності.
Якщо Booking.com не розкриє кількість постраждалих до завершення розслідування, регулятори із захисту персональних даних — зокрема ірландська DPC, під юрисдикцією якої перебуває компанія в ЄС, — мають усі підстави вимагати пояснень: за GDPR термін повідомлення регулятора становить 72 години з моменту виявлення витоку.
