Booking.com a confirmat că părți terțe neautorizate au reușit să acceseze date personale ale unor clienți, într-un incident de securitate care a ieșit la suprafață după ce mai mulți utilizatori au raportat primirea unor notificări oficiale din partea platformei. Informațiile vizate includ nume, adrese de e-mail, numere de telefon și detalii despre rezervări, potrivit comunicării transmise de companie, fără ca aceasta să ofere detalii despre numărul total al persoanelor afectate.
Ce date au fost compromise și ce spune notificarea oficială
Notificarea trimisă clienților afectați — inclusiv utilizatorilor români, care au primit mesajul în limba română — precizează că „terțe părți neautorizate ar fi putut accesa anumite informații de rezervare asociate contului dumneavoastră”, inclusiv „orice date pe care le-ați partajat cu unitatea de cazare.” Compania a confirmat că informațiile financiare nu au fost accesate din sistemele Booking.com și că a actualizat codurile PIN aferente rezervărilor compromise ca primă măsură de protecție, fără a face însă o asumare explicită a responsabilității pentru expunerea datelor în primul rând.
Hackerii exploatează deja datele furate prin atacuri de tip phishing
Unul dintre utilizatorii care a postat notificarea pe Reddit a declarat pentru TechCrunch că a primit, cu două săptămâni înainte de notificare, un mesaj de tip phishing pe WhatsApp care conținea detalii exacte ale rezervării și informații personale — ceea ce sugerează că atacatorii folosesc deja datele sustrase pentru a viza clienții platformei. Purtătoarea de cuvânt a Booking.com, Courtney Camp, a confirmat pentru TechCrunch existența activității suspecte și a măsurilor de limitare a breșei, refuzând însă să răspundă întrebărilor specifice legate de amploarea incidentului.
Ce avertizează Booking.com în e-mailul transmis clienților
Chiar în notificarea oficială transmisă clienților afectați, Booking.com formulează o serie de avertismente menite să limiteze riscul de fraudă ulterioară: compania subliniază că nu va solicita niciodată datele cardului de credit prin e-mail, telefon, SMS sau WhatsApp și nici transferuri bancare în alți termeni decât cei specificați în confirmarea rezervării. Clienții sunt îndemnați să fie vigilenți înainte de a accesa orice link din mesajele care par a proveni de la platformă sau de la unitățile de cazare partenere, iar instalarea unui program antivirus pe dispozitivele personale este recomandată explicit ca măsură suplimentară de protecție.
Precedent: amenda de 475.000 de euro pentru o notificare întârziată cu 22 de zile
Acesta nu este primul caz în care Booking.com se confruntă cu consecințe legale în urma unui incident de securitate. În 2018, infractorii au folosit tactici de phishing pentru a fura datele de autentificare ale angajaților unor hoteluri din Emiratele Arabe Unite, obținând acces la datele de rezervare ale peste 4.000 de clienți ai platformei, iar Booking.com a raportat încălcarea autorității olandeze de protecție a datelor cu o întârziere de 22 de zile față de termenul legal, fapt ce a atras o amendă de 475.000 de euro aplicată de Autoriteit Persoonsgegevens. Precedentul este direct relevant pentru cazul actual — în special în contextul în care, sub GDPR actualizat, amenzile pot ajunge la 20 de milioane de euro sau 4% din cifra de afaceri globală, Booking.com raportând venituri de peste 21 de miliarde de dolari în 2023.
Booking.com, vizată și în 2024 de un incident cu spyware
Nu este nici prima dată când platforma de rezervări hoteliere se confruntă cu probleme grave de securitate în lanțul său de parteneri: în 2024, TechCrunch raporta că mai multe hoteluri partenere aveau computerele infectate cu software de tip stalkerware, iar în cel puțin un caz, un angajat autentificat în portalul de administrare Booking.com a avut ecranul capturat de aplicația pcTattletale. Conform datelor publicate pe site-ul companiei, 6,8 miliarde de clienți au efectuat rezervări prin platformă din 2010 până în prezent, ceea ce conferă oricărui incident de securitate o potențială amploare considerabilă.
Care este responsabilitatea Booking.com față de datele tale
Potrivit Regulamentului General privind Protecția Datelor (GDPR), operatorii de date — categorie din care face parte și Booking.com — au obligația legală de a implementa măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal ale utilizatorilor și de a notifica autoritățile competente în maximum 72 de ore de la constatarea unei breșe. Dacă această obligație nu a fost respectată — așa cum s-a întâmplat în cazul incidentului din 2018, sancționat cu amendă — compania poate fi trasă la răspundere separat, independent de prejudiciile produse clienților afectați. O simplă resetare de PIN nu constituie o asumare a responsabilității în sensul GDPR.
Ce drepturi ai dacă datele tale au fost expuse
În calitate de persoană afectată, ai dreptul de a solicita Booking.com o confirmare scrisă a tipurilor de date expuse, a perioadei de expunere și a măsurilor luate — acesta este dreptul de acces prevăzut de articolul 15 din GDPR, la care compania este obligată să răspundă în maximum 30 de zile, cererea putând fi transmisă la adresa responsabilului cu protecția datelor al platformei. De asemenea, poți solicita ștergerea datelor tale, rectificarea informațiilor incorecte și, dacă dovedești un prejudiciu direct demonstrabil — o tentativă de fraudă reușită sau o pierdere financiară —, ai deschisă calea unei acțiuni civile în despăgubire în baza articolului 82 din GDPR.
Pașii concreți pe care îi poți face acum
Primul pas este transmiterea unei cereri scrise către Booking.com prin care soliciți explicit, în baza GDPR, detalii despre datele expuse și măsurile luate — păstrând toate dovezile, inclusiv e-mailul de notificare și orice mesaj de phishing primit. Al doilea pas este depunerea unei plângeri la ANSPDCP prin formularul disponibil pe dataprotection.ro, fără costuri, iar dacă ai primit mesaje de phishing ca urmare directă a breșei, poți raporta incidentul și la Directoratul Național de Securitate Cibernetică pe dnsc.ro. Pentru a verifica dacă adresa ta de e-mail apare în baze de date compromise, serviciul gratuit haveibeenpwned.com oferă un răspuns imediat.
Ce instituție europeană poate investiga cazul
Autoritatea competentă pentru investigarea acestui incident este ANSPDCP din România pentru utilizatorii români, însă autoritatea-pilot la nivel european este Autoriteit Persoonsgegevens din Olanda — țara în care Booking.com are sediul principal —, care coordonează investigațiile transfrontaliere în cadrul mecanismului de cooperare GDPR. Tocmai această autoritate olandeză a aplicat amenda de 475.000 de euro în urma incidentului din 2018, iar un nou dosar deschis împotriva aceleiași companii, în contextul unui comportament repetitiv documentat, poate atrage sancțiuni semnificativ mai mari față de precedentul anterior.
.jpg "\"Jocul Luminii\", drama lui Ovidiu Georgescu cu Nicu Mihoc și Marius Turdeanu, din 6 mai în cinematografe")
