A Booking.com confirmou o acesso não autorizado a dados de usuários após cibercriminosos explorarem informações de reservas para disparar alertas de segurança fraudulentos. O incidente, que veio a público após clientes receberem notificações do endereço oficial da plataforma durante o fim de semana, levou a empresa a adotar medidas emergenciais, incluindo a redefinição de PINs para reservas atuais e antigas.

Embora a Booking.com esteja notificando seus usuários afetados diretamente por e-mail, o caso acende um alerta sobre a sofisticação de futuros ataques nos quais cibercriminosos podem utilizar a infraestrutura de comunicação aos usuários das empresas para realizar golpes.

O que a Booking.com diz sobre o vazamento de dados?

Em resposta ao ocorrido, a Booking.com emitiu um comunicado oficial ao portal BleepingComputer esclarecendo que o acesso não autorizado não representou uma invasão aos seus sistemas centrais, mas sim um comprometimento de contas de parceiros hoteleiros. Como medida imediata de segurança, a gigante do setor de viagens forçou a redefinição de todos os códigos PIN associados a reservas ativas e históricas, visando bloquear qualquer tentativa de manipulação posterior.

O incidente foi confirmado por Sage Hunter, responsável pela área de comunicação da Booking.com, que confirmou a violação de segurança em declaração oficial publicada no BleepingComputer:

“Na Booking.com, estamos comprometidos com a segurança e a proteção de dados dos nossos hóspedes. Recentemente, notamos uma atividade suspeita envolvendo terceiros não autorizados que conseguiram acessar as informações de reserva de alguns dos nossos hóspedes. Assim que descobrimos a atividade, tomamos medidas para conter o problema. Atualizamos o número PIN dessas reservas e informamos nossos hóspedes.”

Segundo a reportagem, a empresa não respondeu aos questionamentos sobre o número total de usuários afetados, garantindo apenas que todos serão notificados individualmente. A companhia ressaltou ainda que mantém suporte ao cliente em vários idiomas, disponível 24 horas por dia, para orientar sobre possíveis tentativas de fraude em andamento.

Relatos de usuários da Booking.com

Diversos usuários estão usando fóruns como o Reddit para documentar o recebimento de mensagens suspeitas enviadas através de e-mails e whatsapp. Os relatos indicam que os golpistas tiveram acesso a informações privadas, como nomes completos e detalhes específicos de estadias, utilizando esses dados para conferir legitimidade a pedidos de pagamento urgentes.

Comentários de usuários no Reedit.
Comentários de usuários no Reedit.

Como se proteger do vazamento de dados da Booking.com?

O uso de dados reais para construir mensagens falsas é uma tática comum de engenharia social, onde o objetivo é usar a confiança do usuário para obter vantagens financeiras. Diante do vazamento, a atenção deve ser redobrada não apenas em e-mails, mas também em abordagens via WhatsApp e no próprio chat da plataforma.

A Booking.com destaca no portal do serviço algumas dicas de segurança, como a recomendação de que nenhum link enviado por e-mail ou chat deve ser acessado para a realização de pagamentos ou revalidação de dados financeiros, reforçando que qualquer contato desse tipo deve ser tratado como uma potencial tentativa de fraude.

Email enviado pela Booking.com a usuários.

Para este tipo de golpe, os usuários também podem ter em conta algumas orientações a fim de evitar prejuízos:

  • Troca de senhas: É fundamental realizar a alteração da senha de acesso à plataforma. Caso a mesma senha seja utilizada em outros serviços , recomenda-se que elas também sejam trocadas.
  • Ativação de Autenticação de Dois Fatores (MFA): A ativação da verificação em duas etapas é a barreira mais eficiente. Com o MFA ativo, mesmo que um criminoso obtenha a senha, não conseguirá acessar a conta sem o código adicional enviado ao dispositivo de confiança.
  • Verifique a urgência das mensagens: Golpistas frequentemente utilizam ameaças de cancelamento imediato (em 4 ou 12 horas) de serviços para forçar uma decisão rápida. Se receber um ultimato sobre o pagamento de uma reserva já confirmada, desconfie imediatamente.
  • Cuidado com links externos: As empresas normalmente não solicitam dados de cartão de crédito ou pagamentos via links de terceiros enviados por chat ou e-mail. Se precisar realizar qualquer alteração financeira, faça-o diretamente através do menu de "Minhas Reservas" no site ou aplicativo oficial.
  • Atenção ao WhatsApp: Embora o contato de hotéis via WhatsApp seja comum para combinar horários de check-in, o aplicativo não é um canal seguro para transações. Nunca forneça dados sensíveis ou códigos recebidos por SMS através de conversas no aplicativo.
  • Confirme por canais independentes: Em caso de dúvida sobre a validade de uma cobrança, entre em contato direto com o estabelecimento de hospedagem por um número de telefone obtido no site oficial do hotel ou no Google Maps, evitando os contatos fornecidos na mensagem suspeita.