Wyciek z Booking.com jednak dotknął Polaków. Oszuści dosłownie wiedzą, kiedy przyjedziesz do hotelu

Czego dotyczy wyciek danych z Booking.com

Cyberprzestępcy mieli uzyskać dostęp do imion i nazwisk, adresów e-mail, numerów telefonów oraz szczegółów rezerwacji – w tym dat pobytu, nazwy obiektu i specjalnych życzeń wpisywanych w formularzu. Booking.com utrzymuje, że napastnicy nie weszli w posiadanie danych kart płatniczych ani adresów zamieszkania. To jednak słabe pocieszenie dla osób, które już teraz dostają wiadomości phishingowe odnoszące się do ich rzeczywistych rezerwacji.

Komunikat firmy, jakoby Polacy nie byli poszkodowani, w praktyce się nie potwierdza. Jak wynika z relacji użytkowników – w tym jednego z naszych Czytelników – polscy klienci platformy również otrzymują podejrzane wiadomości na WhatsAppie. Treść jest spersonalizowana do tego stopnia, że oszuści znają datę zameldowania, datę wymeldowania oraz nazwę obiektu. Dla nieuważnego odbiorcy wygląda to jak komunikacja z hotelem.

Mechanizm oszustwa: WhatsApp, „pilna" płatność i fałszywy link

Schemat jest powtarzalny. Klient otrzymuje wiadomość rzekomo od recepcji obiektu, w której znajdują się prawdziwe szczegóły rezerwacji. Następnie – pod pretekstem „weryfikacji" lub „dodatkowej autoryzacji" – proszony jest o potwierdzenie płatności kartą poprzez link. Strona, do której prowadzi odnośnik, do złudzenia przypomina formularz Booking.com lub bramki płatniczej. Wpisanie danych karty oznacza w praktyce ich przekazanie przestępcom.

Sygnałów ostrzegawczych jest kilka. Po pierwsze – Booking.com komunikuje się z klientami przez własny czat w aplikacji, a nie przez WhatsApp. Po drugie – jeśli rezerwacja przewiduje płatność na miejscu, żaden obiekt nie powinien żądać autoryzacji karty z wyprzedzeniem. Po trzecie – numer telefonu, z którego pisze „recepcjonista", często ma kierunkowy nieodpowiadający lokalizacji obiektu. To dokładnie ten typ schematu, jaki opisywaliśmy przy okazji fali fałszywych SMS z Pocztexu – zmienia się jedynie szyld, mechanizm pozostaje ten sam.

Co zrobić, jeśli jesteś klientem Booking.com

Pierwszym krokiem powinno być zweryfikowanie każdej wiadomości dotyczącej rezerwacji bezpośrednio w aplikacji lub na stronie Booking.com – nigdy poprzez link otrzymany w SMS-ie, mailu czy na WhatsAppie. Jeśli komunikat sugeruje pilną dopłatę lub żąda danych karty, należy go zignorować i skontaktować się z obiektem przez oficjalny czat platformy.

Drugi krok to monitorowanie skrzynki mailowej i numeru telefonu pod kątem podejrzanej aktywności. Eksperci zalecają również zmianę hasła do konta Booking.com oraz aktywowanie weryfikacji dwuetapowej. Warto też pamiętać, że samo przekazanie danych takich jak data pobytu czy adres e-mail to wartościowy materiał dla socjotechników – kolejne próby wyłudzeń mogą przyjść kanałami, których jeszcze nie wykorzystano.

Kiedy mimo wszystko stracisz pieniądze

Jeżeli oszustwo się powiodło i podaliśmy dane karty na fałszywej stronie, należy natychmiast zastrzec kartę w banku, zgłosić sprawę na policję oraz – co kluczowe – uruchomić procedurę reklamacyjną. W przypadku transakcji kartą Visa lub Mastercard działa mechanizm chargeback, który pozwala odzyskać środki przy nieautoryzowanych obciążeniach. Szczegółowo opisywaliśmy, dlaczego na problemy z płatnością kartą pomagają reklamacje i chargeback – to narzędzie, o którym banki niechętnie informują, ale mają obowiązek przyjąć wniosek klienta.

Jeśli problem dotyczy samej rezerwacji – obiekt ją nagle anulował, nie spełnia warunków umowy lub zniknął z platformy – ścieżka odzyskania pieniędzy wygląda inaczej. Trzeba wtedy złożyć reklamację bezpośrednio w Booking.com, a w razie odmowy spróbować chargebacku w banku. Cały proces nie jest prosty i opisywaliśmy już, dlaczego zwrot z Booking bywa niemożliwy do uzyskania, zwłaszcza przy ofertach bezzwrotnych.

Czy poszkodowani mogą domagać się odszkodowania?

To pytanie, które po każdym dużym wycieku wraca jak bumerang. RODO przewiduje w art. 82 prawo do odszkodowania za szkodę majątkową lub niemajątkową poniesioną w wyniku naruszenia przepisów o ochronie danych osobowych. W praktyce oznacza to, że osoba, której dane wyciekły, może dochodzić rekompensaty od administratora – w tym przypadku od Booking.com.

Trybunał Sprawiedliwości UE w wyroku dotyczącym wycieku z bułgarskiego organu skarbowego potwierdził, że już sama „utrata kontroli" nad swoimi danymi może stanowić szkodę niemajątkową w rozumieniu RODO. To istotny precedens, który otwiera drogę do roszczeń także w sprawach takich jak ALAB Laboratoria czy właśnie Booking. Szczegółowo analizowaliśmy, kiedy przysługuje odszkodowanie za wyciek danych osobowych i jakie warunki trzeba spełnić, by skutecznie je wywalczyć.

Kto odpowiada za zdarzenie

Booking.com jako administrator danych ma obowiązek zapewnienia odpowiednich środków bezpieczeństwa. Sam fakt ataku hakerskiego nie zwalnia firmy z odpowiedzialności – zwolnienie wymaga wykazania, że dochowano należytej staranności i że incydent nastąpił mimo wdrożenia adekwatnych zabezpieczeń. Reguły dotyczące tego, kto ponosi odpowiedzialność za wyciek danych, są w RODO opisane dość szczegółowo, choć ostateczna ocena każdej sprawy należy do organu nadzorczego lub sądu.

W przypadku Booking.com warto przypomnieć, że to nie pierwszy incydent tego typu. W 2018 roku platforma została ukarana przez holenderski urząd ochrony danych za zbyt późne zgłoszenie wycieku dotyczącego ponad 4 tysięcy klientów. Sankcja wyniosła wówczas 475 tys. euro. Tym razem skala naruszenia nie została jeszcze ujawniona – ale milczenie firmy wobec klientów, którzy zgłaszają problemy, raczej nie poprawia jej wizerunku.

Ostrożność ważniejsza niż kiedykolwiek

Nawet jeśli nie utracono danych finansowych, sama kombinacja imienia, nazwiska, telefonu, adresu e-mail i szczegółów pobytu wystarczy, by przeprowadzić bardzo wiarygodne oszustwo. Tradycyjne sygnały phishingu – błędy językowe, generyczne komunikaty, nietypowe domeny – w spersonalizowanym ataku tracą znaczenie. Klient, który widzi w wiadomości prawdziwą datę przyjazdu i nazwę hotelu, łatwiej obniża czujność.

Najprostsza zasada bezpieczeństwa pozostaje niezmienna: żaden serwis rezerwacyjny ani obiekt noclegowy nie potrzebuje danych karty podawanych przez WhatsApp, SMS czy e-mail z linkiem. Jeśli pojawia się taka prośba – jest oszustwem, niezależnie od tego, jak prawdziwie wygląda kontekst.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj