Z Booking.com doszło do ujawnienia danych niektórych użytkowników, takich jak adresy poczty elektronicznej, numery telefonów komórkowych oraz informacje dotyczące rezerwacji; natomiast informacje finansowe, przykładowo dotyczące kart płatniczych, pozostały bezpieczne – zawiadomiło PAP biuro prasowe rzeczonej platformy. CERT Polska zakomunikował, że wyciek dotknął także, między innymi, polskich klientów.
W poniedziałek zagraniczne media, w tym the Guardian, zaczęły donosić, iż doszło do ataku hakerskiego na Booking.com, w konsekwencji czego doszło do ujawnienia danych części internautów, a platforma przesyła poszkodowanym wiadomości e-mail w tej kwestii.
Jak oznajmiło biuro prasowe Booking.com, na skutek incydentu w obszarze cyberbezpieczeństwa z platformy wydostały się jedynie dane rezerwacji i informacje kontaktowe klientów, takie jak adres e-mail i/lub numer telefonu. Natomiast cyberprzestępcy nie uzyskali dostępu do informacji finansowych – dotyczących kart płatniczych i kart kredytowych, jak również do adresów zamieszkania klientów.
„Pomimo że nieautoryzowany dostęp został szybko zatrzymany, wciąż oceniamy jego skutki. Do tej pory stwierdziliśmy, że większość informacji, które wyciekły, dotyczy wcześniejszych rezerwacji. Ponieważ nasi klienci pozostają naszym najważniejszym celem, natychmiast ich o tym poinformowaliśmy. Dodatkowo, współpracujemy z organami ścigania oraz organami ochrony danych, dostarczając im wiadomości, których potrzebują do dalszego dochodzenia” – przekazało biuro prasowe Booking.com.
Nie odpowiedziało jednak na pytania odnoszące się do terminu wycieku, jego powodów lub zasięgu.
Zespół CERT Polska przekazał natomiast, że nie otrzymał zgłoszeń dotyczących incydentu w Booking.com, ale „analiza dostępnych publicznie materiałów wskazuje, że dotyczy on również części polskich użytkowników”.
Zespół podkreślił, że wizerunek firm trudniących się rezerwacjami, zwłaszcza Booking.com, jest bardzo często wykorzystywany w modelach phishingowych, co oznacza, że cyberprzestępcy podszywają się pod tego typu platformy i usiłują wyłudzić dane lub pieniądze. „Takie kampanie mają zwykle charakter masowy i nie łączymy ich bezpośrednio z wymienionym incydentem. Niemniej jednak, sytuacja w cyberprzestrzeni jest zmienna i może wydarzyć się tak, że informacje uzyskane z wycieku posłużą oszustom do następnych działań” – zaznaczył CERT Polska.
Jak podało the Guardian, to nie pierwszy tego rodzaju incydent w Booking.com. W roku 2018 cyberprzestępcy ukradli dane logowania pracownika platformy ze Zjednoczonych Emiratów Arabskich, a następnie uzyskali dostęp do danych ponad 4 tys. użytkowników. Wówczas platforma zgłosiła wyciek do holenderskiego urzędu ochrony danych 22 dni po zajściu, w związku z czym otrzymała karę pieniężną w wysokości 475 tys. euro.
Booking.com to jedna z największych na świecie platform internetowych do rezerwacji obiektów noclegowych, założona w roku 1996 w Amsterdamie. Obecnie jest własnością amerykańskiej firmy Booking Holdings. Platforma umożliwia rezerwowanie w 43 językach ponad 28 mln miejsc zakwaterowania, w tym hoteli, apartamentów, domów letniskowych i pensjonatów.
Monika Blandyna Lewkowicz (PAP)
mbl/ pad/