Η Booking.com, μια από τις μεγαλύτερες πλατφόρμες κρατήσεων στον κόσμο, δέχθηκε κυβερνοεπίθεση που οδήγησε στην υποκλοπή προσωπικών στοιχείων χρηστών και πληροφοριών κρατήσεων. Οι χάκερς απέκτησαν πρόσβαση σε ευαίσθητα δεδομένα, ανοίγοντας τον δρόμο για νέο κύμα εξαπατήσεων σε βάρος ταξιδιωτών παγκοσμίως. Η εταιρεία επιβεβαίωσε το περιστατικό μέσω μηνυμάτων προς τους επηρεαζόμενους πελάτες, τα οποία επικαλείται το BBC.
Τι έγινε: Ποια δεδομένα κλάπηκαν
Σύμφωνα με όσα έγιναν γνωστά, οι χάκερς κατάφεραν να αποκτήσουν πρόσβαση σε ονόματα χρηστών, διευθύνσεις email, αριθμούς τηλεφώνου, καθώς και λεπτομέρειες παλαιότερων και ενεργών κρατήσεων. Η Booking.com δηλώνει ότι δεν παραβιάστηκαν οικονομικά στοιχεία από τα δικά της συστήματα, ωστόσο παραδέχεται ότι τα δεδομένα που διέρρευσαν αρκούν για να τροφοδοτήσουν επικίνδυνες απάτες. Στα μηνύματα που έστειλε στους πελάτες της, η εταιρεία αναφέρει χαρακτηριστικά: «Πρόσφατα εντοπίσαμε ύποπτη δραστηριότητα που επηρέασε έναν αριθμό κρατήσεων και προχωρήσαμε αμέσως σε ενέργειες για να περιορίσουμε το περιστατικό». Ως άμεση αντίδραση, η πλατφόρμα προχώρησε σε επικαιροποίηση των PIN για τις κρατήσεις και ξεκίνησε αποστολή προειδοποιητικών email προς τους πιθανώς επηρεαζόμενους.
Η εταιρεία ωστόσο δεν έχει αποκαλύψει πόσοι χρήστες επηρεάστηκαν συνολικά, ούτε έχει προσδιορίσει σε ποιες γεωγραφικές περιοχές εντοπίζεται κυρίως το πρόβλημα. Αυτή η έλλειψη διαφάνειας αφήνει εκατομμύρια χρήστες σε αβεβαιότητα για το αν τα δικά τους δεδομένα έχουν τεθεί σε κίνδυνο. Η παραβίαση επιβεβαιώνει για άλλη μια φορά τη μεγάλη ελκυστικότητα που έχει η Booking.com ως στόχος για κυβερνοεγκληματίες, ακριβώς λόγω του τεράστιου όγκου ευαίσθητων δεδομένων που διαχειρίζεται καθημερινά.
Αντιδράσεις και πλαίσιο: Η απειλή των «reservation hijacks»
Η συγκεκριμένη μορφή απάτης έχει πλέον αποκτήσει τη δική της ονομασία: «reservation hijacks», δηλαδή «αρπαγή κρατήσεων». Στην πράξη, οι δράστες παρουσιάζονται ως εκπρόσωποι ξενοδοχείων ή συνεργαζόμενων καταλυμάτων και επικοινωνούν με ταξιδιώτες, επικαλούμενοι υποτιθέμενα προβλήματα στην κράτησή τους για να αποσπάσουν χρήματα ή τραπεζικά στοιχεία. Οι ειδικοί σε θέματα κυβερνοασφάλειας προειδοποιούν ότι η νέα διαρροή καθιστά αυτό το μοντέλο εξαπάτησης πολύ πιο αποτελεσματικό από ποτέ. Ο λόγος είναι απλός: οι εγκληματίες δεν στηρίζονται πλέον σε γενικόλογα και αόριστα μηνύματα, αλλά διαθέτουν πραγματικά στοιχεία κράτησης, σωστές ημερομηνίες ταξιδιού, αληθινά στοιχεία καταλύματος και ακριβή στοιχεία επικοινωνίας.
Η Booking.com καλεί τους χρήστες να είναι ιδιαίτερα προσεκτικοί απέναντι σε επιθέσεις phishing και τονίζει κατηγορηματικά: «Η Booking.com δεν θα ζητήσει ποτέ από τους επισκέπτες να κοινοποιήσουν στοιχεία πιστωτικής κάρτας μέσω email, τηλεφώνου, WhatsApp ή SMS, ούτε θα ζητήσει τραπεζική μεταφορά διαφορετική από τους όρους πληρωμής που αναφέρονται στην επιβεβαίωση κράτησης». Το BBC υπενθυμίζει ότι έχει καταγράψει επανειλημμένα από το 2023 περιστατικά όπου χάκερς αποκτούσαν πρόσβαση σε λογαριασμούς ξενοδοχείων εντός του συστήματος της πλατφόρμας και μέσα από αυτούς έστελναν ψεύτικα μηνύματα σε πελάτες. Η ουσιαστική διαφορά της νέας παραβίασης είναι ότι οι επιτήδειοι δεν χρειάζεται πλέον να παραβιάσουν καν τους λογαριασμούς των ξενοδοχείων — έχουν ήδη στα χέρια τους αρκετά δεδομένα για να προσεγγίζουν απευθείας τους ταξιδιώτες με εξαιρετικά πειστικό τρόπο.
Τι ακολουθεί: Πώς να προστατευθείτε
Η Booking.com συνεχίζει να αποστέλλει ενημερωτικά μηνύματα στους πελάτες που ενδέχεται να επηρεάστηκαν, ζητώντας τους να παραμείνουν σε εγρήγορση. Κάθε επικοινωνία που ζητά στοιχεία πληρωμής ή επείγουσα τραπεζική μεταφορά με αφορμή κάποια κράτηση πρέπει να αντιμετωπίζεται με υποψία, ανεξάρτητα από το πόσο πειστική φαίνεται. Οι χρήστες που έχουν λάβει προειδοποιητικό email καλούνται να ελέγξουν τις κρατήσεις τους απευθείας μέσα από την επίσημη εφαρμογή ή τον ιστότοπο της πλατφόρμας, χωρίς να ακολουθούν συνδέσμους από εξωτερικά μηνύματα. Η εταιρεία δεν έχει ανακοινώσει ακόμη επίσημα τον συνολικό αριθμό των επηρεαζόμενων χρηστών, ενώ παραμένει ανοιχτό το ερώτημα αν θα ακολουθήσουν περαιτέρω νομικές ή ρυθμιστικές κινήσεις από αρχές προστασίας δεδομένων σε Ευρώπη και αλλού.
