As agências de viagens adoram dizer que seus dados estão seguros. A Booking.com acabou de lembrar a todos por que essa é uma promessa difícil de cumprir.
A gigante de reservas sediada em Amsterdã começou a notificar os clientes em 13 de abril de que “terceiros não autorizados” haviam acessado os dados de reservas dos hóspedes. As informações comprometidas incluem detalhes das reservas, nomes, endereços de e-mail, endereços físicos e números de telefone — basicamente tudo o que seria necessário para se passar de forma convincente por um hotel ao entrar em contato com um hóspede.
Os criminosos parecem ter obtido acesso aos dados ao invadir os sistemas dos hotéis parceiros da Booking.com. Um relatório da Microsoft atribui a culpa à técnica de phishing ClickFix, que leva as vítimas (neste caso, funcionários de hotéis) a instalar malware disfarçado de “correção” do computador.
A Microsoft atribui a autoria do ataque a um grupo criminoso chamado Storm-1865 e o flagrou realizando exatamente esse tipo de campanha contra funcionários de hotéis na América do Norte, Oceania, Sul e Sudeste Asiático e Europa, distribuindo malware perigoso como o XWorm e o VenomRAT por meio de páginas falsas de CAPTCHA.
A notificação enviada pela Booking.com aos clientes alertou que os dados expostos poderiam ser usados para golpes de phishing e afirmou que a empresa nunca solicitaria informações confidenciais nem transferências bancárias.
Mas os golpistas têm um esquema comprovado para transformar dados de reservas roubados em dinheiro. Eles podem se apropriar indevidamente de uma reserva fingindo ser o hotel, enviar mensagens aos hóspedes exigindo um pagamento adicional ou os dados do cartão de crédito para “verificação do pagamento”. Os dados roubados lhes dão tudo o que precisam para convencer o cliente do hotel de que são legítimos.
O Action Fraud do Reino Unido recebeu 532 denúncias de golpes envolvendo o Booking.com como este entre junho de 2023 e setembro de 2024, com as vítimas perdendo 370.000 libras (cerca de 470.000 dólares).
Isso já aconteceu antes com parceiros e clientes da Booking.com. Em 2018, criminosos realizaram um ataque de phishing contra funcionários de hotéis e obtiveram acesso a dados pertencentes a clientes da Booking.com. Os golpistas também realizaram uma campanha de phishing por voz no final daquele ano, que teve como alvo 40 hotéis nos Emirados Árabes Unidos. Mais de 4.000 dados de clientes foram roubados, incluindo dados de cartão de crédito de 300 pessoas. A Booking.com demorou a comunicar a violação ao órgão regulador de privacidade holandês, que aplicou uma multa de € 475.000 (cerca de US$ 560.000) em 2021.
O problema recorrente das violações de segurança no setor de viagens
Violações como essas são comuns no setor de viagens. Em janeiro de 2026, a Eurail divulgou uma violação que expôs números de passaporte, endereços e, para alguns viajantes, fotocópias de documentos de identidade e dados de saúde. A KLM e a Air France tiveram dados de clientes roubados em agosto de 2025. A Hertz, a Dollar e a Thrifty foram todas vítimas da exploração do software de transferência de arquivos Cleo pela gangue Cl0p, com criminosos roubando carteiras de motorista e dados de cartões de crédito.
O que é interessante em todos esses incidentes é que, assim como no roubo de dados da Booking.com, todos envolvem a violação de terceiros, e não das próprias operadoras de viagens. O setor de viagens detém enormes quantidades de números de passaporte, cartões de pagamento e itinerários. E sua estrutura de segurança, caracterizada por cadeias de suprimentos extensas, operações franqueadas e plataformas de terceiros, torna-o um alvo vulnerável.
O que você pode fazer
Quantos clientes foram afetados? A Booking.com não está divulgando. Para uma plataforma com mais de 100 milhões de usuários ativos do aplicativo móvel e 500 milhões de visitas mensais ao site, esse silêncio é preocupante.
Se você usou o Booking.com recentemente, aqui está um guia prático sobre segurança. Não confie em mensagens que peçam para você “confirmar” os detalhes do pagamento, mesmo que elas cheguem pela própria plataforma.
Aqui estão as recomendações da própria Booking.com sobre esses golpes, divulgadas antes deste último incidente:
“Se não houver nenhuma política de pré-pagamento ou exigência de depósito descrita, mas lhe pedirem para pagar antecipadamente para garantir sua reserva, é provável que se trate de um golpe.”
Verifique o e-mail de confirmação da reserva para saber o valor exato a pagar e a data de vencimento. Se algo parecer suspeito, entre em contato diretamente com o estabelecimento, em vez de usar um link enviado por terceiros. E fique atento aos seus extratos bancários. Os golpistas que se aproveitam desse tipo de informação nem sempre agem imediatamente.
Algo parece errado? Verifique antes de clicar.
Malwarebytes Guardajuda você a analisar instantaneamente links, mensagens de texto e capturas de tela suspeitas.
Disponível comMalwarebytes Premium para todos os seus dispositivos e noMalwarebytes para iOS Android.
