Η Booking.com επιβεβαίωσε περιστατικό κυβερνοασφάλειας με πρόσβαση σε προσωπικά στοιχεία κρατήσεων πελατών. Οι δράστες ήδη αξιοποιούν τα δεδομένα σε επιθέσεις phishing.
Σε ακόμη ένα ηχηρό καμπανάκι για την παγκόσμια βιομηχανία ταξιδιών, η Booking.com επιβεβαίωσε ότι χάκερς απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα πελατών, περιλαμβανομένων ονομάτων, email, ταχυδρομικών διευθύνσεων, τηλεφώνων και στοιχείων κρατήσεων. Η εταιρεία έχει αποστείλει ενημερώσεις σε πληγέντες χρήστες, όπως προκύπτει από αναρτήσεις σε διαδικτυακά φόρα.
Τι ακριβώς παραβιάστηκε και πώς αξιοποιείται
Σύμφωνα με τα μηνύματα που έλαβαν οι πελάτες, «μη εξουσιοδοτημένα τρίτα μέρη ενδέχεται να είχαν πρόσβαση σε ορισμένες πληροφορίες κράτησης που συνδέονται με τη δική σας κράτηση». Στη λίστα των πιθανώς εκτεθειμένων δεδομένων περιλαμβάνονται τα βασικά προσωπικά στοιχεία, οι λεπτομέρειες του ταξιδιού, αλλά και «οτιδήποτε μπορεί να έχετε μοιραστεί με το κατάλυμα» μέσω της πλατφόρμας.
Ένας χρήστης που δημοσιοποίησε την ειδοποίηση σε σχετικό νήμα στο Reddit ανέφερε ότι, δύο εβδομάδες πριν, δέχθηκε μήνυμα phishing μέσω WhatsApp, το οποίο περιείχε ακριβή στοιχεία της κράτησής του και προσωπικές πληροφορίες. Αυτό δείχνει ότι οι δράστες δεν περιορίζονται στη συλλογή δεδομένων, αλλά τα αξιοποιούν ενεργά για στοχευμένες απάτες, προσδίδοντας αξιοπιστία στα ψεύτικα μηνύματα και αυξάνοντας την πιθανότητα ο ανυποψίαστος ταξιδιώτης να πατήσει σε κακόβουλους συνδέσμους ή να αποκαλύψει περαιτέρω στοιχεία.
Εκπρόσωπος της Booking.com ανέφερε ότι η εταιρεία «εντόπισε ύποπτη δραστηριότητα που αφορούσε μη εξουσιοδοτημένα τρίτα μέρη με δυνατότητα πρόσβασης σε ορισμένες πληροφορίες κρατήσεων των επισκεπτών μας. Μετά τον εντοπισμό της δραστηριότητας προχωρήσαμε σε ενέργειες για τον περιορισμό του ζητήματος. Ενημερώσαμε τους πελάτες μας και αλλάξαμε τον PIN αριθμό για τις συγκεκριμένες κρατήσεις».
Η εταιρεία, ωστόσο, δεν απάντησε σε ερωτήματα για τον αριθμό των επηρεαζόμενων πελατών ή την ακριβή έκταση του περιστατικού. Σε άλλη τοποθέτηση, διευκρίνισε ότι δεν υπήρξε πρόσβαση σε οικονομικές πληροφορίες, στοιχείο που περιορίζει μεν την άμεση οικονομική ζημία, αλλά δεν αναιρεί τον σοβαρό κίνδυνο δευτερογενών απατών.
Επιπτώσεις για ταξιδιώτες, ξενοδόχους και ρυθμιστικές αρχές
Με βάση τα επίσημα στοιχεία της Booking.com, από το 2010 έχουν πραγματοποιηθεί 6,8 δισ. κρατήσεις μέσω της πλατφόρμας. Ακόμη κι αν επηρεάστηκε ένα μικρό ποσοστό, ο απόλυτος αριθμός δυνητικά εκτεθειμένων χρηστών μπορεί να είναι πολύ υψηλός, με σαφείς προεκτάσεις και για Ευρωπαίους και Έλληνες ταξιδιώτες.
Για τους χρήστες, ο άμεσος κίνδυνος εντοπίζεται σε στοχευμένα phishing μηνύματα μέσω email, SMS ή εφαρμογών ανταλλαγής μηνυμάτων, τα οποία θα περιέχουν αληθινές λεπτομέρειες κράτησης (ημερομηνίες, προορισμούς, ονόματα καταλυμάτων). Αυτό καθιστά κρίσιμη την επαγρύπνηση: διασταύρωση κάθε αιτήματος πληρωμής με την επίσημη εφαρμογή ή τον ιστότοπο, αποφυγή κλικ σε συνδέσμους τρίτων και άμεση επικοινωνία με το κατάλυμα ή την Booking.com μόνο μέσω επίσημων καναλιών.
Για τα καταλύματα, ένα τέτοιο περιστατικό επιβαρύνει περαιτέρω τη σχέση εμπιστοσύνης με τους πελάτες, καθώς οι ταξιδιώτες συχνά δεν διαχωρίζουν αν η διαρροή προήλθε από την πλατφόρμα ή από τα ίδια τα ξενοδοχεία. Παράλληλα, αναδεικνύεται η ανάγκη ενίσχυσης της κυβερνοασφάλειας σε όλο το οικοσύστημα φιλοξενίας, από τα κεντρικά συστήματα κρατήσεων μέχρι τους υπολογιστές υποδοχής, που έχουν στο παρελθόν βρεθεί μολυσμένοι με spyware.
Σε ρυθμιστικό επίπεδο, ειδικά στην Ευρώπη, ένα τέτοιο περιστατικό εγείρει ερωτήματα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), ιδίως ως προς την έγκαιρη ενημέρωση των αρχών και των υποκειμένων των δεδομένων, αλλά και τα μέτρα που είχαν ληφθεί για την πρόληψη της παραβίασης.
Σχόλιο 
: Η υπόθεση Booking.com δείχνει πόσο εύθραυστη είναι η εμπιστοσύνη στην ψηφιακή οικονομία ταξιδιών: ένα τεχνικό κενό μετατρέπεται αμέσως σε εργαλείο κοινωνικής μηχανικής, με τους δράστες να «ντύνουν» τις απάτες τους με αληθινά δεδομένα. Για τους Έλληνες ταξιδιώτες και επαγγελματίες του τουρισμού, το μήνυμα είναι διπλό: ενίσχυση της ψηφιακής παιδείας ασφάλειας και αυστηρότερος έλεγχος συνεργατών και πλατφορμών, καθώς η φήμη της χώρας ως προορισμού μπορεί να πληγεί από περιστατικά που δεν συμβαίνουν καν εντός των συνόρων της.
#Booking #CyberSecurity #DataBreach #Τουρισμός #Phishing
