As agências de viagens adoram dizer que os seus dados estão seguros. A Booking.com acabou de lembrar a todos por que razão essa é uma promessa difícil de cumprir.
A gigante de reservas sediada em Amesterdão começou a notificar os clientes a 13 de abril de que «terceiros não autorizados» tinham acedido aos dados das reservas dos hóspedes. As informações comprometidas incluem detalhes das reservas, nomes, endereços de e-mail, endereços físicos e números de telefone — essencialmente tudo o que seria necessário para se fazer passar, de forma convincente, por um hotel ao contactar um hóspede.
Os criminosos parecem ter acedido aos dados através do ataque a hotéis parceiros da Booking.com. Um relatório da Microsoft atribui a culpa à técnica de phishing «ClickFix», que leva as vítimas (neste caso, funcionários dos hotéis) a instalar malware disfarçado de «correção» do computador.
A Microsoft atribui a responsabilidade pelo ataque a um grupo criminoso denominado Storm-1865, tendo-o apanhado a levar a cabo exatamente este tipo de campanha contra funcionários de hotéis na América do Norte, Oceânia, Sul e Sudeste Asiático e Europa, distribuindo malware malicioso como o XWorm e o VenomRAT através de páginas CAPTCHA falsas.
A notificação enviada pela Booking.com aos clientes alertou que os dados expostos poderiam ser utilizados para phishing e afirmou que nunca solicitaria informações confidenciais nem transferências bancárias.
Mas os burlões têm um esquema comprovado para transformar dados de reservas roubados em dinheiro. Podem apropriar-se de uma reserva fazendo-se passar por um hotel, enviar mensagens aos hóspedes a exigir um pagamento adicional ou os dados do cartão de crédito para «verificação do pagamento». Os dados roubados dão-lhes tudo o que precisam para convencer o cliente do hotel de que são legítimos.
A Action Fraud do Reino Unido recebeu 532 denúncias de fraudes relacionadas com a Booking.com como esta entre junho de 2023 e setembro de 2024, tendo as vítimas sofrido prejuízos no valor de 370 000 libras (cerca de 470 000 dólares).
Isto já aconteceu anteriormente a parceiros e clientes da Booking.com. Em 2018, os criminosos realizaram uma campanha de phishing contra funcionários de hotéis e acederam a dados pertencentes a clientes da Booking.com. Os burlões também realizaram uma campanha de phishing por voz no final desse ano, que teve como alvo 40 hotéis nos Emirados Árabes Unidos. Foram roubados os dados de mais de 4.000 clientes, incluindo dados de cartões de crédito de 300 pessoas. A Booking.com demorou a comunicar a violação à autoridade reguladora de privacidade holandesa, que aplicou uma multa de 475.000 € (cerca de 560.000 $) em 2021.
O problema recorrente das violações de segurança no setor das viagens
Violações como estas são uma constante no setor das viagens. Em janeiro de 2026, a Eurail revelou uma violação que expôs números de passaporte, endereços e, para alguns viajantes, fotocópias de documentos de identificação e dados de saúde. A KLM e a Air France tiveram dados de clientes roubados em agosto de 2025. A Hertz, a Dollar e a Thrifty foram todas alvo da exploração do software de transferência de ficheiros Cleo pelo grupo Cl0p, com criminosos a roubarem cartas de condução e dados de cartões de crédito.
O que é interessante em todos estes incidentes é que, tal como no caso do roubo de dados da Booking.com, todos envolvem a violação de terceiros, em vez das próprias operações de viagens. O setor das viagens detém enormes quantidades de números de passaporte, cartões de pagamento e itinerários. E a sua estrutura de segurança, caracterizada por cadeias de abastecimento extensas, operações em regime de franquia e plataformas de terceiros, torna-o um alvo fácil.
O que pode fazer
Quantos clientes foram afetados? A Booking.com não revela. Para uma plataforma com mais de 100 milhões de utilizadores ativos da aplicação móvel e 500 milhões de visitas mensais ao site, esse silêncio é preocupante.
Se utilizou recentemente o Booking.com, eis um guia prático sobre segurança. Não confie em mensagens que lhe peçam para «verificar» os dados de pagamento, mesmo que cheguem através da própria plataforma.
Eis os conselhos da própria Booking.com sobre estes esquemas fraudulentos, publicados antes deste último incidente:
«Se não estiver definida nenhuma política de pré-pagamento nem for exigido qualquer depósito, mas lhe pedirem que pague antecipadamente para garantir a sua reserva, é provável que se trate de uma fraude.»
Verifique o e-mail de confirmação da reserva para saber o valor exato a pagar e a data de vencimento. Se algo parecer suspeito, contacte diretamente o estabelecimento, em vez de utilizar um link que alguém lhe tenha enviado. E fique atento aos seus extratos bancários. Os burlões que exploram este tipo de dados nem sempre agem de imediato.
Algo parece errado? Verifique antes de clicar.
Malwarebytes Guardajuda-o a analisar instantaneamente links, mensagens de texto e capturas de ecrã suspeitos.
Disponível comMalwarebytes Premium para todos os seus dispositivos e naMalwarebytes para iOS Android.
