A gigante global de reservas de viagens Booking.com confirmou que hackers conseguiram acessar dados pessoais de clientes, incluindo nome, e-mail, telefone e informações de reservas. O incidente veio à tona após usuários relatarem o recebimento de notificações da empresa e compartilharem detalhes do caso em fóruns online.

Segundo comunicado enviado aos clientes, “terceiros não autorizados podem ter acessado determinadas informações relacionadas à sua reserva”, incluindo também dados eventualmente compartilhados diretamente com hotéis ou acomodações. Embora a empresa não tenha divulgado o número de pessoas afetadas, o caso levanta preocupações relevantes sobre o uso dessas informações em ataques direcionados.

Indícios de exploração ativa: phishing com dados reais

Um dos pontos mais críticos do incidente é que os dados já parecem estar sendo utilizados em campanhas de golpe. Um usuário relatou ter recebido uma mensagem via WhatsApp contendo informações reais da sua reserva, o que indica que os hackers estão explorando os dados vazados para aplicar ataques de phishing altamente personalizados.

Esse tipo de abordagem aumenta significativamente a taxa de sucesso dos golpes, já que as vítimas passam a confiar mais na comunicação — afinal, os dados utilizados são legítimos.

Possível cadeia de ataque

Embora detalhes técnicos completos não tenham sido divulgados, o cenário sugere um comprometimento que pode ter ocorrido em diferentes camadas:

• Acesso inicial: exploração de credenciais comprometidas ou falha em sistemas integrados

• Acesso a dados de reservas: consulta a informações armazenadas ou compartilhadas com parceiros

• Exfiltração de dados: coleta de dados pessoais e operacionais

• Uso ofensivo dos dados: campanhas de phishing direcionadas (WhatsApp, e-mail, SMS)

A empresa afirmou ter identificado atividades suspeitas e adotado medidas imediatas para conter o incidente, incluindo a atualização dos códigos PIN associados às reservas impactadas.

O que foi (e o que não foi) comprometido

De acordo com a Booking.com:

• Dados acessados: nome, e-mail, telefone, detalhes de reservas e informações compartilhadas com acomodações

• Não acessados: dados financeiros e endereços físicos

Apesar disso, especialistas alertam que mesmo sem dados financeiros, o conjunto de informações vazadas é altamente valioso para golpes, principalmente em cenários de engenharia social.

Histórico e riscos no ecossistema de hotéis

O setor de turismo e hospitalidade tem sido alvo frequente de ataques cibernéticos, especialmente por envolver múltiplos sistemas interconectados — como plataformas de reserva, sistemas de hotéis e integrações com terceiros.

Em 2024, já havia registros de ataques envolvendo spyware em hotéis, onde invasores conseguiam capturar telas de sistemas administrativos conectados à Booking.com, o que evidencia fragilidades na cadeia de segurança como um todo.

Com mais de 6,8 bilhões de reservas realizadas desde 2010, segundo a própria empresa, o volume de dados gerenciado pela plataforma a torna um alvo extremamente atrativo para hackers.

O que esse caso revela

O incidente reforça uma tendência importante: ataques não precisam necessariamente acessar dados financeiros para gerar impacto significativo. Informações contextuais — como reservas, datas de viagem e dados de contato — são suficientes para construir golpes altamente convincentes.

Para usuários, o principal risco imediato é o recebimento de mensagens fraudulentas com aparência legítima. Para empresas, o caso reforça a necessidade de:

• Proteção reforçada de dados sensíveis, mesmo que não financeiros

• Monitoramento de acessos a dados de clientes

• Segurança em integrações com parceiros e hotéis

• Educação contínua de usuários contra phishing

• Estratégias de resposta rápida e comunicação transparente