Booking.com ha confermato ufficialmente quello che migliaia di utenti avevano iniziato a sospettare: i suoi sistemi sono stati violati. Un attacco informatico ha esposto i dati personali di una parte imprecisata di clienti, aprendo la strada a potenziali truffe che potrebbero svuotare i conti correnti di chi non presta la dovuta attenzione. Se hai prenotato un soggiorno tramite la piattaforma, è il momento di alzare la guardia. La conferma è arrivata attraverso email inviate direttamente agli utenti coinvolti, con oggetto “Importante aggiornamento sulla sicurezza”. Non si tratta di un tentativo di phishing mascherato, ma di una comunicazione autentica che segnala un problema reale. Secondo quanto dichiarato da Courtney Camp, portavoce di Booking.com, la società ha rilevato “attività sospette che coinvolgevano terze parti non autorizzate in grado di accedere ad alcune informazioni di prenotazione dei nostri ospiti“.
La natura dei dati trafugati è particolarmente preoccupante proprio per la loro capacità di rendere credibili future truffe. Gli aggressori hanno messo le mani su nomi completi, indirizzi email, numeri di telefono e dettagli delle prenotazioni: date di check-in e check-out, informazioni sulle strutture scelte, messaggi inviati agli hotel tramite la piattaforma. Insomma, tutto ciò che serve per costruire un messaggio fraudolento apparentemente legittimo, personalizzato su misura per la vittima. Alcuni utenti hanno già segnalato di aver ricevuto messaggi sospetti su WhatsApp contenenti riferimenti precisi alle loro prenotazioni. Un esempio concreto arriva da Reddit, dove un cliente ha raccontato di aver ricevuto una comunicazione che citava esattamente l’hotel prenotato, le date del soggiorno e persino richieste specifiche fatte alla struttura. Il messaggio chiedeva di confermare i dati della carta di credito perché il pagamento non era andato a buon fine. Tutto falso, naturalmente, ma costruito con informazioni autentiche rubate proprio dall’archivio di Booking.
Questo è quello che gli esperti chiamano spear phishing, una tecnica di ingegneria sociale in cui l’attaccante non spara nel mucchio sperando che qualcuno abbocchi, ma costruisce esche su misura per ciascuna vittima. Quando il messaggio truffa contiene informazioni reali e verificabili, distinguere il vero dal falso diventa tremendamente difficile. Non stiamo parlando della classica email mal scritta del principe nigeriano, ma di comunicazioni curate che replicano il linguaggio e lo stile delle vere strutture ricettive. La buona notizia, se così vogliamo chiamarla, è che secondo Booking i dati finanziari non sarebbero stati compromessi. Carte di credito, IBAN e altre informazioni di pagamento sarebbero rimasti al sicuro. Tuttavia, questa affermazione va presa con cautela: quello che è certo è che i dati rubati forniscono agli hacker una base solida per tentare di ottenere proprio quelle informazioni finanziarie attraverso truffe mirate.
Come reazione immediata, Booking ha resettato i codici PIN associati alle prenotazioni coinvolte, una misura che dovrebbe impedire modifiche non autorizzate agli account. Tuttavia, la compagnia non ha fornito dettagli sul numero esatto di utenti colpiti, rendendo impossibile valutare la reale portata dell’incidente. Considerando che la piattaforma registra oltre 500 milioni di visite mensili al sito web, 100 milioni di utenti attivi sull’app mobile e più di 1,1 miliardi di pernottamenti prenotati nel 2024, anche una “piccola” percentuale potrebbe tradursi in milioni di persone a rischio. Non è la prima volta che l’universo Booking finisce nel mirino dei cybercriminali. Nel 2018, una truffa telefonica aveva colpito 40 hotel negli Emirati Arabi Uniti: i malviventi erano riusciti a convincere i dipendenti delle strutture a rivelare le credenziali di accesso ai loro account su Booking.com, ottenendo così i dati di 4.109 clienti. In quel caso, la piattaforma aveva impiegato troppo tempo a segnalare l’incidente, ricevendo una multa di 475.000 euro dall’Autorità di vigilanza olandese per il ritardo nella comunicazione.
Il problema strutturale è che Booking.com non è solo un sito web, ma un ecosistema vastissimo che connette milioni di utenti a centinaia di migliaia di strutture ricettive sparse in tutto il mondo. Ogni hotel, bed and breakfast o appartamento rappresenta un potenziale punto di accesso vulnerabile. Molte strutture utilizzano software di terze parti per gestire le prenotazioni, e questi strumenti possono presentare falle di sicurezza sfruttabili dagli hacker. Negli ultimi anni sono emerse vulnerabilità critiche in plugin per WordPress utilizzati da hotel e strutture ricettive, come Service Finder Bookings, Booking Activities e WP Hotel Booking. Questo significa che non necessariamente i server centrali di Booking sono stati violati: potrebbe essere stato sufficiente compromettere gli account di alcune strutture affiliate per accedere ai dati dei clienti. Una campagna di phishing ben orchestrata contro i gestori di hotel potrebbe aver fornito agli attaccanti le credenziali necessarie per infiltrarsi nel sistema.
Se hai effettuato una prenotazione su Booking nelle ultime settimane o nei prossimi mesi, la prima regola è questa: diffida di qualsiasi comunicazione che ti chieda dati sensibili o pagamenti, anche se contiene informazioni precise sulla tua prenotazione. Non fornire mai i dati della tua carta di credito tramite WhatsApp, SMS o email, nemmeno se il messaggio sembra provenire dall’hotel che hai prenotato. Se ricevi richieste sospette, non cliccare su alcun link contenuto nel messaggio. Contatta direttamente la struttura utilizzando il numero di telefono presente sul sito ufficiale dell’hotel, non quello indicato nel messaggio ricevuto. Allo stesso modo, se hai dubbi sull’autenticità di una comunicazione, rivolgiti al customer care di Booking.com attraverso i canali ufficiali indicati nella pagina dei contatti sul loro sito.
