Booking.com подтвердил: третьи лица получили доступ к персональным данным клиентов — именам, email-адресам, номерам телефонов и деталям бронирований. Об этом стало известно из сообщений, которые сервис начал рассылать пострадавшим пользователям на протяжении последней недели.
Что именно утекло — и чего не утекло
По данным TechCrunch, в письмах компания указывает: скомпрометированная информация может включать «детали бронирования, имена, email, номера телефонов, а также всё, что вы передавали непосредственно объекту размещения». Физические адреса в окончательной версии заявления Booking.com исключила — представитель компании уточнил для TechCrunch, что они не были получены злоумышленниками. Платёжные данные и пароли также не пострадали.
Казалось бы, ограниченный набор. Но именно здесь — главная ловушка.
Почему «неполный» утечка опаснее полной
Один из пострадавших пользователей рассказал TechCrunch, что ещё за две недели до официального уведомления получил фишинговый запрос в WhatsApp — и сообщение содержало точные детали его бронирования. Мошенник знал дату, отель, сумму. Знал достаточно, чтобы казаться легитимным.
«Даже когда платёжные данные не украдены, такая утечка остаётся серьёзной угрозой для путешественников. Текущая опасность — вторая волна мошенничества».
Адрианус Вармеховен, эксперт по кибербезопасности NordVPN, для Travel Weekly
Это классическая схема: злоумышленники не пытаются сразу же взломать банковский счёт. Они строят доверие через контекст — и просят карту уже «в разговоре», где жертва не подозревает опасности. Booking.com в своём письме предупредил: компания никогда не просит номер карты через email, телефон, SMS или WhatsApp.
Что известно о масштабе и источнике
Booking.com обслуживает более 28 миллионов объектов размещения по всему миру и является одним из крупнейших тревел-агрегаторов. Однако точное количество пострадавших пользователей компания не раскрыла. Как отмечает Security Affairs, пока непонятно даже то, была ли скомпрометирована собственная система Booking.com или атака произошла через третьи стороны — например, через отели или партнёров платформы.
Компания уверила, что «немедленно приняла меры по локализации инцидента» и уведомляет только тех клиентов, чьи данные потенциально пострадали.
Что делать прямо сейчас
- Игнорировать любые сообщения в WhatsApp или SMS от «Booking.com» с просьбой подтвердить платёж или ввести карту.
- Проверять все запросы исключительно через официальное приложение или сайт — не переходя по ссылкам из писем.
- Быть особенно внимательными, если кто-то в переписке знает точные детали вашего бронирования: это не доказывает легитимность.
Если Booking.com не раскроет количество пострадавших до завершения расследования, регуляторы по защите персональных данных — в частности ирландская DPC, под юрисдикцией которой находится компания в ЕС, — имеют все основания требовать объяснений: по GDPR срок уведомления регулятора составляет 72 часа с момента обнаружения утечки.
