Booking.com ha confermato un data breach che ha coinvolto dati personali legati alle prenotazioni: nomi, email, numeri di telefono e comunicazioni con le strutture.
Marco Crisciotti
14 Aprile 2026
Lo scorso weekend migliaia di utenti hanno ricevuto un’email da noreply@booking.com, come questa trovata su Reddit, al cui interno vi era una comunicazione riguardante un possibile accesso di terzi ai dati della loro prenotazione, non un avviso generico, ma un messaggio con i dettagli della singola reservation. Scambiato, almeno inizialmente, per un possibile tentativo di phishing, il messaggio si è rivelato veritiero e Booking.com ha confermato l’incidente il 13 aprile 2026: queste le parole di Sage Hunter, portavoce dell’azienda, riportate da BleepingComputer:
Noi di Booking.com ci impegniamo per la sicurezza e la protezione dei dati dei nostri ospiti. Recentemente abbiamo notato alcune attività sospette che coinvolgevano terze parti non autorizzate in grado di accedere ad alcune informazioni di prenotazione dei nostri ospiti. Una volta scoperta l’attività, abbiamo preso provvedimenti per contenere il problema. Abbiamo aggiornato il codice PIN per queste prenotazioni ed informato i nostri ospiti.
Cosa è stato sottratto
I dati esposti comprendono nomi, indirizzi email, numeri di telefono, indirizzi fisici e le comunicazioni scambiate dagli utenti con le strutture alberghiere attraverso la piattaforma. Booking.com ha specificato che nessun dato finanziario e/o di pagamento è stato compromesso, e che gli account degli utenti non risultano violati.
Il numero di persone coinvolte non è stato ancora reso noto, e la società ha assicurato che tutti gli utenti interessati riceveranno una notifica individuale.
Il rischio reale: il phishing
Il furto di dati di prenotazione apre a scenari decisamente insidiosi, anche senza accedere alle carte di credito, perché se a conoscenza di nome, struttura e date di soggiorno di un utente, è possibile allestire dei messaggi truffaldini difficili da distinguere dalle comunicazioni legittime. Non è un caso teorico, in quanto diversi utenti hanno già segnalato tentativi di contatto da parte di soggetti che si spacciavano per rappresentanti di Booking.com, in possesso dei dettagli reali sulla prenotazione. La piattaforma ha ricordato che non chiede mai dati di pagamento via email, telefono, WhatsApp o SMS, né bonifici diversi da quelli indicati nella conferma di prenotazione.
Non è la prima volta
Nel 2011, l’autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) aveva comminato a Booking.com una multa da 475.000 euro dopo una violazione che aveva esposto i dati di oltre 4.000 clienti, tra cui i dati di carta di credito di quasi 300 persone. La violazione risaliva al dicembre 2018, anche se l’azienda l’aveva notificata al garante con 22 giorni di ritardo rispetto alla finestra di 72 ore prevista dal GDPR.
Fonte: BleepingComputer
Leggi anche:
Fonte:
www.greenme.it
