Biura podróży uwielbiają zapewniać, że Twoje dane są bezpieczne. Booking.com właśnie przypomniał wszystkim, dlaczego tak trudno dotrzymać tej obietnicy.
Ten gigant branży rezerwacyjnej z siedzibą w Amsterdamie zaczął 13 kwietnia powiadamiać klientów, że „nieuprawnione osoby trzecie” uzyskały dostęp do danych dotyczących rezerwacji gości. Wykrażone informacje obejmują szczegóły rezerwacji, imiona i nazwiska, adresy e-mail, adresy zamieszkania oraz numery telefonów – czyli zasadniczo wszystko, co jest potrzebne, by przekonująco podszyć się pod hotel kontaktujący się z gościem.
Wygląda na to, że przestępcy uzyskali dostęp do danych poprzez atak na partnerów hotelowych serwisu Booking.com. Raport firmy Microsoft wskazuje na technikę phishingową typu „ClickFix”, która nakłania ofiary (w tym przypadku pracowników hoteli) do zainstalowania złośliwego oprogramowania pod pozorem „naprawy” komputera.
Firma Microsoft obwinia za ten atak grupę przestępczą o nazwie Storm-1865 i wykryła, że prowadziła ona właśnie taką kampanię wymierzoną w pracowników hoteli w Ameryce Północnej, Oceanii, Azji Południowej i Południowo-Wschodniej oraz w Europie, rozprzestrzeniając groźne złośliwe oprogramowanie, takie jak XWorm i VenomRAT, za pośrednictwem fałszywych stron z kodami CAPTCHA.
W komunikacie skierowanym do klientów serwis Booking.com ostrzegł, że ujawnione dane mogą zostać wykorzystane do phishingu, i zapewnił, że nigdy nie prosi o podawanie poufnych informacji ani o dokonywanie przelewów bankowych.
Jednak oszuści dysponują sprawdzonymi metodami, dzięki którym potrafią zamienić skradzione dane rezerwacyjne na gotówkę. Mogą przejąć rezerwację, podając się za hotel, wysyłać gościom wiadomości z żądaniem dodatkowej płatności lub podania danych karty kredytowej w celu „weryfikacji płatności”. Skradzione dane dają im wszystko, czego potrzebują, by przekonać klienta hotelu, że są wiarygodni.
W okresie od czerwca 2023 r. do września 2024 r. brytyjska organizacja Action Fraud otrzymała 532 zgłoszenia dotyczące tego typu oszustw związanych z serwisem Booking.com, w wyniku których ofiary straciły 370 000 funtów (około 470 000 dolarów).
Podobne sytuacje miały już miejsce w przypadku partnerów i klientów serwisu Booking.com. W 2018 roku przestępcy przeprowadzili atak phishingowy na pracowników hoteli i uzyskali dostęp do danych klientów serwisu Booking.com. W tym samym roku oszuści przeprowadzili również kampanię phishingową wykorzystującą połączenia głosowe, której celem było 40 hoteli w Zjednoczonych Emiratach Arabskich. Skradziono dane ponad 4 000 klientów, w tym dane kart kredytowych 300 osób. Booking.com zbyt późno zgłosił naruszenie holenderskiemu organowi regulacyjnemu ds. ochrony danych, który w 2021 roku nałożył na firmę grzywnę w wysokości 475 000 euro (około 560 000 dolarów).
Powracający problem naruszeń bezpieczeństwa w branży turystycznej
Takie naruszenia bezpieczeństwa są w branży turystycznej zjawiskiem powszechnym. W styczniu 2026 r. firma Eurail ujawniła naruszenie, w wyniku którego wyciekły numery paszportów, adresy, a w przypadku niektórych podróżnych – kopie dokumentów tożsamości i dane dotyczące zdrowia. W sierpniu 2025 r. doszło do kradzieży danych klientów linii KLM i Air France. Firmy Hertz, Dollar i Thrifty padły ofiarą ataku gangu Cl0p, który wykorzystał oprogramowanie do przesyłania plików Cleo, a przestępcy wykradli dane praw jazdy i kart kredytowych.
Ciekawym aspektem wszystkich tych incydentów jest to, że podobnie jak w przypadku kradzieży danych serwisu Booking.com, wszystkie one wiążą się z naruszeniem bezpieczeństwa podmiotów zewnętrznych, a nie samych operatorów turystycznych. Branża turystyczna dysponuje ogromnymi zbiorami danych, takich jak numery paszportów, dane kart płatniczych i plany podróży. A jej struktura bezpieczeństwa, charakteryzująca się rozległymi łańcuchami dostaw, działalnością franczyzową i platformami zewnętrznymi, sprawia, że jest ona łatwym celem ataków.
Co możesz zrobić
Ilu klientów dotknęła ta sytuacja? Booking.com nie podaje tej informacji. W przypadku platformy, która ma ponad 100 milionów aktywnych użytkowników aplikacji mobilnej i 500 milionów odwiedzin miesięcznie na stronie internetowej, to milczenie budzi niepokój.
Jeśli ostatnio korzystałeś z serwisu Booking.com, oto praktyczny przewodnik dotyczący bezpieczeństwa. Nie ufaj wiadomościom z prośbą o „weryfikację” danych dotyczących płatności, nawet jeśli otrzymujesz je za pośrednictwem samej platformy.
Oto porady serwisu Booking.com dotyczące tych oszustw, opublikowane jeszcze przed tym ostatnim incydentem:
„Jeśli nie ma informacji o polityce dotyczącej przedpłat ani wymogu wpłacenia kaucji, a mimo to prosi się cię o dokonanie przedpłaty w celu zagwarantowania rezerwacji, prawdopodobnie jest to oszustwo”.
Sprawdź w e-mailu z potwierdzeniem rezerwacji, jaką kwotę faktycznie musisz zapłacić i w jakim terminie. Jeśli coś wydaje się podejrzane, skontaktuj się bezpośrednio z obiektem, a nie za pośrednictwem linku przesłanego przez kogoś innego. I sprawdzaj wyciągi bankowe. Oszuści wykorzystujący tego typu dane nie zawsze uderzają od razu.
Coś wydaje się nie tak? Sprawdź to przed kliknięciem.
Malwarebytes Guardpozwala błyskawicznie analizować podejrzane linki, teksty i zrzuty ekranu.
Dostępne w ramachMalwarebytes Premium na wszystkie Twoje urządzenia oraz wMalwarebytes na iOS Android.
