Booking.com potvrdil incident. Útočníci se mohli dostat k údajům o rezervacích
Booking.com potvrdil incident, při kterém se útočníci mohli dostat k údajům o rezervacích uživatelů. Firma mění PINy a varuje před cílenými podvody, které mohou využívat konkrétní informace o cestách. Kolik lidí bylo zasaženo a jak k útoku došlo, zatím není jasné.
Co Booking.com potvrdil
Podle vyjádření společnosti zaznamenal Booking.com „podezřelou aktivitu“, při níž se neoprávněné třetí strany mohly dostat k některým údajům o rezervacích hostů. Firma uvedla, že po odhalení incidentu situaci začala řešit, změnila PINy dotčených rezervací a informovala zákazníky přímo e-mailem. Zatím ale neupřesnila, jak k průniku došlo ani kolik uživatelů bylo zasaženo.
Mediální zprávy založené na oznámení rozeslaném zákazníkům uvádějí, že mezi potenciálně zpřístupněnými daty mohly být jméno, e-mailová adresa, telefonní číslo, poštovní adresa, detaily rezervace a také komunikace, kterou uživatel sdílel s ubytovacím zařízením. Booking.com zároveň podle vyjádření pro média uvedl, že finanční údaje přístupné být neměly.
Největší riziko teď nemusí být samotný únik, ale to, co přijde po něm
Právě kombinace kontaktních údajů a detailů o konkrétní rezervaci dává útočníkům velmi silný materiál pro cílený phishing. Pokud někdo ví, kde máte být ubytováni, kdy cestujete a pod jakým jménem je rezervace vedená, může připravit mnohem přesvědčivější podvod než běžný spam.
To je na celé události nejdůležitější. Samotný incident je nepříjemný, ale ještě větší dopad může mít jeho druhá fáze: falešné e-maily, WhatsApp zprávy nebo telefonáty vydávající se za Booking.com či přímo za hotel. Právě na to firma v upozornění zákazníkům výslovně upozorňuje. Podle dostupných informací se navíc objevily případy phishingových zpráv obsahujících osobní i rezervační údaje, není ale potvrzeno, že přímo souvisí s tímto incidentem.
PIN se změnil, otázky zůstávají
Booking.com podle dostupných informací změnil PINy u dotčených rezervací, v některých reportech se mluví i o rezervacích minulých. To je logický krok, protože právě kombinace čísla rezervace a PINu může v některých situacích umožnit přístup k detailům pobytu. Firma ale zatím stále neodpověděla na několik zásadních otázek: kolik účtů nebo rezervací bylo zasaženo, zda šlo o kompromitaci interních systémů, partnerů nebo jinou cestu, a jak dlouho měli útočníci k datům přístup.
Právě absence těchto detailů je zatím největší slabinou veřejné komunikace kolem incidentu. Potvrzení tu je, obranný krok také, ale technický obrázek útoku zatím chybí.
Booking.com se se zneužíváním cestovních dat nepotýká poprvé
Nový incident navazuje na starší bezpečnostní problémy kolem platformy. Evropský sbor pro ochranu osobních údajů připomíná případ z roku 2018, kdy útočníci během telefonického scamu zaměřeného na hotely ve Spojených arabských emirátech získali přístup k údajům 4 109 zákazníků Booking.com. Útok tehdy cílil na hotelový personál, nikoli přímo na infrastrukturu Booking.com.
Do širšího kontextu zapadá i to, že Booking.com a bezpečnostní firmy už v roce 2024 upozorňovaly na prudký nárůst cestovatelských podvodů. Ve veřejných vyjádřeních se objevovalo rozpětí 500 až 900 % za předchozích 18 měsíců, přičemž významnou roli měly hrát i nástroje generativní AI, které útočníkům usnadňují tvorbu věrohodných phishingových zpráv.
Co by měli udělat uživatelé
Pokud jste od Booking.com dostali upozornění na incident, je na místě počítat s tím, že vaše data mohou být použita v navazujícím podvodu. Opatrnost je ale namístě i u ostatních uživatelů služby, protože útočníci mohou využít mediální pozornosti a rozesílat falešná varování i lidem, kterých se incident přímo netýká.
Podezřelé jsou zejména zprávy, které vytvářejí tlak na rychlou reakci, chtějí doplatit rezervaci, potvrdit kartu nebo kliknout na odkaz kvůli „ověření“ pobytu. Bezpečnější cesta je vždy otevřít Booking.com ručně, přihlásit se standardní cestou a vše ověřit přímo v účtu nebo přes oficiální podporu. Booking.com podle rozeslaných upozornění zároveň připomíná, že uživatelé nemají sdílet citlivé platební údaje po telefonu, e-mailem, SMS ani přes WhatsApp.
Z incidentu je zatím hlavně varování
Na dnešním internetu už dávno neplatí, že největším problémem je jen samotný únik dat. Často je to spíš odrazový můstek pro další útoky. A právě v cestovním segmentu, kde lidé běžně komunikují s hotely, řeší platby, změny rezervací a stres před odjezdem, funguje takový phishing mimořádně dobře.
V případě Booking.com je tedy důležité oddělit dvě věci. Potvrzený je incident a změna PINů rezervací. Nepotvrzený naopak zůstává rozsah dopadu a technická povaha útoku. Pro uživatele je ale už teď podstatné jedno: jakákoli nečekaná zpráva o rezervaci, doplatku nebo ověření údajů si teď zaslouží maximální opatrnost.