Allarme sicurezza su Booking.com: dati di prenotazione esposti, cresce il rischio di phishing “su misura”

Viaggi e Turismo

Un nuovo episodio di sicurezza informatica coinvolge la piattaforma di prenotazioni online Booking.com, che ha confermato una violazione dei propri sistemi in grado di esporre dati personali e informazioni sensibili relative a un numero non ancora precisato di utenti.

L’azienda ha avviato immediatamente una procedura di contenimento, intervenendo anche con il ripristino forzato dei PIN di prenotazione. Tuttavia, restano ancora molti punti oscuri: non è stato comunicato né il numero degli account coinvolti né il vettore d’attacco utilizzato per l’accesso non autorizzato.

Dati potenzialmente esposti: un quadro ampio e delicato

Secondo le comunicazioni inviate ai clienti nelle ultime ore, le informazioni compromesse potrebbero includere:

  • dettagli completi delle prenotazioni
  • nomi e cognomi
  • indirizzi email
  • numeri di telefono
  • indirizzi di residenza o fatturazione
  • date di soggiorno
  • messaggi scambiati con le strutture ricettive tramite la piattaforma

Un insieme di dati che, pur non includendo – secondo quanto dichiarato – informazioni bancarie o numeri di carte di credito, rappresenta un patrimonio informativo estremamente sensibile.

Si tratta infatti di dati capaci di ricostruire con precisione abitudini di viaggio, spostamenti e relazioni tra utenti e strutture ricettive.

Booking: “attività sospette”, ma pochi dettagli ufficiali

Booking.com ha parlato genericamente di “attività sospette” rilevate su un numero limitato di prenotazioni, affermando di aver reagito tempestivamente per contenere l’incidente.

Nella comunicazione inviata agli utenti si legge un invito alla prudenza e all’adozione di misure di sicurezza informatica, come l’utilizzo di antivirus aggiornati e l’attenzione a possibili tentativi di phishing.

Anche le strutture partner sono state informate: secondo quanto riportato, soggetti non autorizzati potrebbero aver avuto accesso ai dati relativi agli ospiti.

Resta però un elemento centrale non chiarito: la durata dell’eventuale esposizione prima della scoperta dell’anomalia.

Un silenzio che alimenta le incognite

L’azienda non ha fornito dettagli sul numero di utenti coinvolti né ha chiarito la natura dell’attacco. Anche la richiesta di ulteriori informazioni da parte della stampa non avrebbe ricevuto risposta.

Un’assenza di trasparenza che pesa, soprattutto in un contesto in cui la tempestività delle comunicazioni è considerata fondamentale per la gestione dei rischi digitali.

Il vero pericolo: phishing “personalizzato”

Al di là dell’incidente tecnico, gli esperti mettono in evidenza un rischio ancora più concreto: l’utilizzo dei dati sottratti per campagne di phishing altamente credibili.

Con informazioni come hotel prenotati, date di soggiorno e comunicazioni dirette con le strutture, i criminali informatici possono costruire messaggi estremamente realistici. Email che non si limitano a generici avvisi di sicurezza, ma che fanno riferimento a viaggi effettivi, richieste reali e conversazioni autentiche.

Un livello di personalizzazione che aumenta drasticamente la probabilità di successo delle truffe.

Non è la prima volta che sistemi legati a piattaforme di prenotazione vengono sfruttati in questo modo: in passato, account compromessi di strutture ricettive sono stati utilizzati per inviare richieste fraudolente di pagamento direttamente agli ospiti, attraverso i sistemi di messaggistica interna.

Un precedente che pesa

Il settore ricorda un caso simile avvenuto nel 2021, quando le autorità per la protezione dei dati dei Paesi Bassi sanzionarono Booking.com per una violazione che aveva coinvolto migliaia di clienti.

Anche allora, la dinamica non riguardava un attacco diretto ai sistemi centrali, ma la compromissione di credenziali di terze parti, in particolare operatori alberghieri. Un modello di attacco “a catena”, in cui l’anello debole diventa il punto di accesso all’intero ecosistema.

Non è escluso che lo schema possa essere simile anche in questo caso, ma al momento non esistono conferme ufficiali.

Cosa devono fare gli utenti

In attesa di chiarimenti più dettagliati, la raccomandazione principale è la prudenza.

Chi ha prenotazioni attive – o recenti – su Booking.com dovrebbe prestare particolare attenzione a:

  • email o messaggi che richiedono dati di pagamento
  • comunicazioni che invitano a cliccare su link per “confermare” prenotazioni
  • richieste urgenti di aggiornamento dati personali

La verifica deve avvenire esclusivamente tramite accesso diretto all’app o al sito ufficiale, evitando qualsiasi collegamento ricevuto via email o SMS.

Una questione di fiducia digitale

Al di là dell’aspetto tecnico, l’incidente riapre una questione centrale: la fiducia negli ecosistemi digitali di viaggio.

Piattaforme come Booking.com gestiscono una quantità enorme di informazioni personali, spesso utilizzate in modo quotidiano e senza percezione del rischio reale.

Quando questi dati vengono esposti, anche solo parzialmente, non si compromette soltanto la sicurezza informatica: si apre uno spazio potenziale per truffe sempre più sofisticate, difficili da riconoscere e ancor più difficili da bloccare in tempo.

Il silenzio su alcuni aspetti dell’incidente lascia aperte molte domande. E in un contesto digitale sempre più esposto, ogni zona d’ombra diventa un problema che non riguarda solo l’azienda, ma milioni di utenti.