Booking.com, violazione dei dati degli utenti
pubblicato:Raggiunte dagli hacker informazioni personali e prenotazioni, ma non i dati finanziari degli utenti. La piattaforma interviene, ma c'è chi ricorda la data breach negli Emirati di qualche anno fa
Booking.com ha registrato una fuga di dati (data breach) e confermato con un messaggio ai suoi utenti che alcuni dati delle prenotazione potrebbero essere stati esposti.
Diversi clienti dell’agenzia di viaggi e prenotazioni online hanno infatti ricevuto negli scorsi giorni una preoccupante segnalazione:
“Abbiamo notato un’attività sospetta riguardante un certo numero delle tue prenotazioni. Questo potrebbe avere portato a un accesso di terze parti non autorizzate alle stesse prenotazioni. Stiamo inviando una mail agli ospiti per informarli e abbiamo cambiato il numero PIN delle conferme di prenotazione”.
Gli attacchi hacker non avrebbero raggiunto le informazioni finanziarie dei clienti di Booking.com, ma potrebbero avere ottenuto informazioni chiave come i dettagli delle prenotazioni, i nomi, le mail, gli indirizzi, i numeri di telefono. In pratica quasi ogni informazione condivisa.
Chi è Booking.com
Booking.com è diventata negli anni una delle maggiori Online Travel Agency del mondo. Fondata nel 1996 ad Amsterdam, ancora oggi sottoposta alla normativa dei Paesi Bassi, fa parte del gruppo statunitense Booking Holdings Inc. quotato sul Nasdaq e attivo anche con altri brand come Priceline, agoda, Kaiak e Opentable. Il gruppo consolidato ha registrato nel 2024 prenotazioni per 165,6 miliardi di dollari, ricavi da 23,7 miliardi di dollari, un utile netto da 5,9 miliardi di dollari. Booking.com dichiara di offrire più di 28 milioni di alloggi, tramite applicazioni che supportano 43 lingue.
Booking.com, il caso negli Emirati e la sanzione olandese
La sua stessa natura di intermediario tra gli ospiti espone la società a continui attacchi hacker e tentativi di frode informatica.
Il più eclatante sicuramente è stato quello che ha portato nel 2021 a una sanzione, da parte dell’Autorità della privacy olandese (DPA), da ben 475 mila euro.
Nel 2018, in particolare, dei criminali riuscirono, tramite una truffa telefonica ai danni di decine di alberghi negli Emirati Arabi Uniti, a ottenere l’accesso ai dati di 4.109 persone e alle informazioni delle carte di credito di 283 persone.
In quell’occasione Booking.com aveva avuto notizia della data breach il 13 gennaio 2019, ma aveva notificato appena il 7 febbraio, 25 giorni dopo, ben oltre la scadenza richiesta dalle norme olandesi di 72 ore dalla scoperta della violazione. La tempistica in questi casi può infatti fare la differenza per la salvaguardia dei clienti.
Booking.com ha comunque diffuso un numero limitato di informazioni su questa nuova data breach: non sarebbero state intaccate le informazioni finanziarie dell’utenza, ma non è noto se l’accesso abusivo alle informazioni sia giunto dalla rete dei partner o se sia stata intaccata la piattaforma proprietaria della compagnia, né si sa per quanto tempo i dati siano rimasti esposti prima dell’intervento.
Il rischio è che le informazioni personali ottenute sull’utenza consentano in seconda battuta nuove truffe telefoniche e frodi tramite, per esempio, strategie di fishing.
