Booking.com je potrdil, da so nepooblaščeni napadalci dostopali do osebnih podatkov uporabnikov, povezanih z njihovimi rezervacijami. Med izpostavljenimi podatki so imena, elektronski naslovi, fizični naslovi, telefonske številke in podrobnosti rezervacij, vključno z vsebinami, ki so jih gostje delili z nastanitvami prek platforme. Finančni podatki in podatki o plačilnih karticah po navedbah podjetja niso bili izpostavljeni.
Največja spletna potovalna platforma na svetu, prek katere je od leta 2010 rezervacije opravilo 6,8 milijarde uporabnikov, je o incidentu začela obveščati prizadete uporabnike v soboto in nedeljo z elektronsko pošto z uradnega naslova noreply@booking.com. Booking.com je za prizadete rezervacije samodejno spremenil PIN kode in po navedbah tiskovne predstavnice Sage Hunter dejavnost napadalcev zaustavil.
Koliko uporabnikov je prizadetih, podjetje ni razkrilo. Na vprašanja, kako so napadalci pridobili dostop do podatkov in ali je šlo za ranljivost v sistemu ali človeško napako, Booking.com ni odgovoril.
Več uporabnikov je na spletu poročalo, da so prek aplikacije WhatsApp že prejeli sporočila z dejanskimi podrobnostmi njihovih rezervacij, referenčnimi številkami, datumi bivanja in imeni hotelov. Goljufi s temi podatki oblikujejo prepričljiva sporočila, s katerimi poskušajo izluščiti plačilne podatke. Booking.com ima ponavljajoče se primere tovrstnih prevar. Napadalci so v preteklosti zlorabljali vgrajeni sporočilni sistem platforme po vdorih v hotelske račune in legitimne pogovore med gosti in nastanitvami spremenili v orodja za zbiranje plačilnih podatkov.
Dubajsko podjetje za kibernetsko varnost Hackmanac navaja, da je hekerska skupina Vect prevzela odgovornost za vdor tako v Booking.com kot v Airbnb, a zaenkrat te trditve niso potrjene.
Booking.com je eden najpogosteje uporabljanih potovalnih portalov v Sloveniji. Uporabniki, ki so v zadnjem obdobju prejeli elektronsko pošto s platforme o spremembi PIN kode, naj status rezervacij preverjajo izključno prek uradne aplikacije ali neposrednega vnosa naslova booking.com v brskalnik, ne pa prek povezav v prejetih sporočilih. Podatkov o plačilnih karticah naj v nobenem primeru ne posredujejo prek sporočilnih aplikacij ali elektronske pošte.
