Marco Crisciotti Violazione informatica su Booking.com espone dati sensibili di prenotazioni. Rischio phishing per migliaia di utenti coinvolti nell'incidente.
Durante il fine settimana appena trascorso, migliaia di persone hanno trovato nella propria casella di posta un messaggio proveniente da noreply@booking.com, simile a quello condiviso su Reddit, contenente un avviso circa un potenziale accesso non autorizzato alle informazioni della loro prenotazione. Non si trattava di un alert generico, bensì di una notifica personalizzata con i riferimenti specifici della singola reservation. Inizialmente ritenuto un tentativo di phishing, il messaggio si è dimostrato autentico e Booking.com ha ufficializzato la violazione il 13 aprile 2026. Ecco la dichiarazione di Sage Hunter, rappresentante della compagnia, citata da BleepingComputer:
La sicurezza e la tutela delle informazioni dei nostri clienti rappresentano una priorità assoluta per Booking.com. Di recente abbiamo rilevato attività anomale che hanno permesso a soggetti esterni non autorizzati di visualizzare alcuni dati relativi alle prenotazioni dei nostri ospiti. Non appena individuata l’anomalia, abbiamo adottato misure immediate per arginare la situazione. Abbiamo rinnovato i codici PIN associati a queste prenotazioni e comunicato l’accaduto ai clienti coinvolti.
Indice
Quali informazioni sono state compromesse
Le informazioni esposte includono nominativi, indirizzi di posta elettronica, recapiti telefonici, indirizzi di residenza e gli scambi di messaggi tra utenti e strutture ricettive avvenuti tramite la piattaforma. Booking.com ha precisato che nessuna informazione bancaria o relativa ai metodi di pagamento è stata violata, e che gli account personali degli utenti rimangono al sicuro.
L’azienda non ha ancora divulgato il numero esatto di persone colpite dall’incidente, garantendo però che tutti i soggetti interessati riceveranno una comunicazione diretta.
La minaccia concreta: truffe mirate
La sottrazione di informazioni sulle prenotazioni crea situazioni particolarmente pericolose, anche in assenza di dati bancari, poiché chi possiede nome, hotel e periodo di soggiorno può costruire messaggi fraudolenti estremamente credibili, quasi indistinguibili dalle comunicazioni ufficiali. Non si tratta di un pericolo astratto: diversi clienti hanno già riferito di essere stati contattati da individui che si presentavano come operatori di Booking.com, dimostrando di conoscere esattamente i dettagli della loro prenotazione. La piattaforma ha ribadito di non richiedere mai informazioni di pagamento tramite email, chiamate telefoniche, WhatsApp o SMS, né di sollecitare trasferimenti di denaro diversi da quelli specificati nella conferma di prenotazione.
Precedenti analoghi
Nel 2011, l’autorità olandese preposta alla tutela dei dati personali (Autoriteit Persoonsgegevens) aveva inflitto a Booking.com una sanzione di 475.000 euro in seguito a una violazione che aveva coinvolto oltre 4.000 clienti, compresi i dati delle carte di credito di quasi 300 persone. La violazione era avvenuta nel dicembre 2018, ma l’azienda aveva comunicato l’accaduto al garante con 22 giorni di ritardo rispetto al termine di 72 ore stabilito dal GDPR.
Fonte: BleepingComputer
