Глобальний сервіс бронювання житла Booking.com офіційно визнав факт масштабного витоку конфіденційної інформації своїх клієнтів. Зловмисники отримали несанкціонований доступ до імен, електронних адрес, номерів телефонів та деталей резервувань, які тепер активно використовуються для цілеспрямованих шахрайських атак. Про це повідомляє TechCrunch 13 квітня.
Масштаби витоку та приховування реальної картини
У своїх електронних розсилках компанія повідомила клієнтам, що «неуповноважені треті особи» могли отримати доступ не лише до базових контактних даних, а й до будь-якої інформації, якою мандрівники обмінювалися безпосередньо з готелями через платформу.
Офіційна представниця Booking.com Кортні Кемп підтвердила наявність проблеми, зазначивши, що після виявлення підозрілої активності компанія «вжила заходів для локалізації інциденту» та оновила PIN-коди для скомпрометованих бронювань. Проте платформа, через яку з 2010 року було здійснено 6,8 мільярда бронювань, відверто уникає прозорості. Керівництво відмовилося відповідати на запитання журналістів щодо точної кількості постраждалих користувачів. Єдине, що компанія заявила виданню The Guardian — це те, що хакери нібито не отримали доступу до фінансової інформації.
Фішинг нового рівня
Кіберзлочинці вже почали активно використовувати викрадені бази даних. Один із постраждалих користувачів розповів, що отримав фішингове повідомлення у WhatsApp ще за кілька тижнів до офіційного зізнання Booking.com. Злочинці діяли максимально переконливо, оперуючи реальними деталями його бронювання та точними особистими даними. Це свідчить про те, що мета атаки — не просто збір масиву даних, а їхня швидка монетизація через соціальну інженерію, коли клієнтів обманом змушують здійснювати перекази «готельєрам» або переходити за шкідливими посиланнями.
Системна вразливість партнерів та історія штрафів
Попри спроби Booking.com мінімізувати власні репутаційні втрати, архітектура платформи має давню системну проблему — низький рівень кібербезпеки у самих готелів-партнерів. Зловмисники часто не ламають сервери самого Booking.com, а атакують комп'ютери на ресепшені готелів. Як повідомлялося ще у 2024 році, хакери масово інфікували системи реєстрації готелів споживчим шпигунським програмним забезпеченням, яке робило скриншоти адміністративної панелі Booking.com, коли туди заходив персонал.
Цей інцидент є далеко не першим. За даними відкритих реєстрів, у 2021 році нідерландський регулятор конфіденційності (DPA) вже штрафував компанію на 475 000 євро за те, що вона із запізненням повідомила про витік даних понад 4000 осіб. Тоді хакери також діяли через крадіжку логінів співробітників готелів у Об'єднаних Арабських Еміратах, щоб увійти в систему.
