A Booking.com confirmou no início desta semana que foi alvo de uma falha de segurança, um incidente que permitiu a terceiros não autorizados aceder a informações pessoais e detalhes de reservas de um número indeterminado de clientes. Na passada noite de domingo, a gigante das viagens começou a notificar os utilizadores afectados através de e-mail, num caso que já está a gerar preocupações sobre campanhas de fraude direccionadas.
De acordo com as informações partilhadas pela empresa, a plataforma detectou actividades suspeitas associadas a reservas específicas e agiu de imediato para conter o problema. Courtney Camp, porta-voz da Booking, indicou ao TechCrunch que a empresa actualizou os códigos PIN de todas as reservas afectadas, tanto activas como passadas, para mitigar o risco de acessos indevidos.
Apesar da confirmação pública, a empresa recusou revelar o número total de clientes impactados, as regiões afectadas ou o período exacto em que a intrusão ocorreu. Sabe-se, no entanto, que a plataforma gere centenas de milhões de reservas anuais e inclui mais de 28 milhões de alojamentos listados em todo o mundo.
A informação comprometida e os dados a salvo
A grande preocupação dos especialistas em cibersegurança prende-se com o tipo de informação extraída. Embora a Booking tenha garantido ao jornal The Guardian que os dados financeiros não foram acedidos, a lista de elementos expostos é extensa o suficiente para causar dores de cabeça aos viajantes.
Segundo a comunicação enviada aos clientes, os atacantes conseguiram visualizar quatro categorias específicas de dados:
- Nomes completos e endereços de e-mail dos utilizadores.
- Números de telefone (a empresa esclareceu posteriormente que as moradas físicas não foram comprometidas, ao contrário do que indicavam as primeiras notícias).
- Datas e detalhes específicos das reservas efectuadas.
- Quaisquer notas adicionais ou pedidos partilhados directamente com os hotéis através da plataforma.
O facto de os dados dos cartões de crédito estarem seguros é um alívio, mas os cibercriminosos procuram frequentemente contornar os sistemas oficiais. Embora a plataforma disponibilize várias opções seguras, como a recente integração de alternativas de pagamento para estadias, os piratas informáticos usam as informações roubadas para enganar as vítimas e levá-las a transferir dinheiro por vias não oficiais.
O perigo do contexto e as campanhas de fraude
O verdadeiro valor deste roubo de dados reside no contexto das viagens. Adrianus Warmenhoven, especialista em cibersegurança da NordVPN, refere que este tipo de falha é particularmente perigoso porque permite aos atacantes criar esquemas altamente convincentes e personalizados. Os criminosos sabem exactamente quando o cliente vai viajar, o que torna as mensagens fraudulentas muito mais urgentes e difíceis de detectar.
As campanhas de phishing já começaram a fazer vítimas. Pelo menos um utilizador na rede social Reddit indicou ter recebido uma mensagem suspeita no WhatsApp com detalhes precisos da sua reserva e informações pessoais, duas semanas antes de a empresa fazer o anúncio público. Outro utilizador expressou frustração com a lentidão da plataforma, ao afirmar que reportou uma falha de segurança há quinze dias, altura em que a empresa negou a existência de qualquer problema.
Este tipo de ataque, conhecido como phishing de seguimento, aproveita a familiaridade dos clientes com as mensagens habituais da plataforma, como os lembretes de viagem. Em Junho de 2024, a própria Booking avisou que os ataques de phishing contra os seus clientes tinham aumentado drasticamente, com um crescimento na ordem dos 900%, impulsionado pelo uso de inteligência artificial.
Histórico de incidentes e medidas de protecção
Não é a primeira vez que a empresa enfrenta problemas desta natureza. Em 2021, as autoridades holandesas multaram a Booking em 475 mil euros após um ataque que expôs dados de mais de quatro mil clientes. Na altura, a empresa notificou as autoridades com 22 dias de atraso, muito além do limite de 72 horas exigido pelo Regulamento Geral sobre a Proteção de Dados (RGPD). Mais recentemente, artigos de empresas de segurança como a Sekoia.io detalharam campanhas de malware, como o ClickFix e o PureRAT, desenhadas para comprometer contas de hotéis e visar os hóspedes.
Para os clientes que têm viagens marcadas, a NordVPN partilha quatro recomendações fundamentais que devem ser seguidas de imediato:
- Não clicar em links presentes em e-mails ou mensagens inesperadas sobre a reserva.
- Nunca partilhar detalhes de pagamento por e-mail, SMS ou aplicações de mensagens.
- Iniciar sessão directamente na plataforma oficial, através da aplicação ou do browser, para verificar qualquer actividade suspeita.
- Manter um nível de alerta elevado perante mensagens que criem um sentido de urgência em torno da reserva.
A Booking já informou as autoridades holandesas sobre esta nova falha de segurança. Resta agora perceber se a notificação ocorreu dentro dos prazos legais ou se a empresa voltará a enfrentar sanções financeiras.
