Breach

Booking.com: parceiros hoteleiros comprometidos expõem dados de viajantes

Dados de reservas de clientes da Booking.com — nomes, e-mails, endereços, telefones e mensagens privadas com hotéis — foram acessados por criminosos via rede de parceiros hoteleiros comprometidos; campanhas de phishing usando dados reais já estavam ativas antes da notificação oficial de 13 de abril de 2026.

O ataque não comprometeu os servidores centrais da Booking.com, mas a cadeia de fornecedores: funcionários de hotéis parceiros foram induzidos por scripts maliciosos disfarçados de correção de erro de navegador (técnica ClickFix) a entregar seus cookies de sessão, contornando MFA e dando aos criminosos acesso a dados reais de reservas. Com essas informações, golpistas do grupo Storm-1865 já disparavam phishing cirúrgico via WhatsApp e e-mail — com nome do hotel, datas e número de confirmação corretos — antes de qualquer alerta ao cliente. CISO deve mapear quais plataformas de viagem corporativa têm acesso a PII de colaboradores e exigir controles anti-phishing nas próximas revisões contratuais, com atenção redobrada ao GDPR Art. 33: a notificação chegou 22 dias após o prazo legal de 72h, replicando a infração que gerou multa de €475 mil da DPA holandesa em 2021.

Ação pro CISO/CTO

Audite fornecedores com acesso a PII de clientes e exija MFA resistente a phishing nas próximas renovações contratuais

Contexto

A Booking.com confirmou em 13 de abril de 2026 acesso não autorizado a dados de reservas de clientes, incluindo nomes, e-mails, endereços físicos, telefones e mensagens privadas com hotéis — informações financeiras não foram comprometidas. O vetor foi a rede de hotéis parceiros: funcionários foram alvo da técnica ClickFix, que apresenta falsas páginas de CAPTCHA pedindo ao usuário que execute um script para 'corrigir um erro do navegador', instalando malware (XWorm, VenomRAT, PureRAT) que roubou cookies de sessão e contornou MFA. O grupo Storm-1865, rastreado pela Microsoft, conduziu o ataque com alvos em hotéis da América do Norte, Europa, Oceania e Ásia. O padrão não é novo: a Booking.com já sofreu ataque similar por engenharia social via parceiros hoteleiros em 2021, e desta vez o ciclo de exploração se repetiu antes que controles estruturais fossem implementados.

Impacto pra o negócio

Viajantes corporativos passaram a receber mensagens de phishing com dados corretos de reserva — nome do hotel, datas e número de confirmação — antes da notificação oficial, indicando que os dados circularam por semanas sem alerta. Para empresas que usam Booking.com para viagens de negócio, o risco imediato é fraude financeira direcionada: funcionários podem receber solicitações falsas de repagamento via WhatsApp com dados que parecem legítimos. O DPO de qualquer organização com colaboradores afetados deve avaliar obrigações de notificação interna sob LGPD Art. 48 ou GDPR Art. 34, conforme jurisdição. A Booking.com não divulgou o número de clientes afetados, o que impede avaliação de escala — mas a plataforma atende centenas de milhões de usuários registrados globalmente, o que sugere exposição em larga escala. O risco reputacional é agravado pelo histórico de reincidência: segunda violação com atraso de notificação em cinco anos.

Análise Hunterspay

O que a gente tira disso

Este incidente é o modelo de como supply chain vira vetor de acesso a dados de escala plataforma: a Booking.com não foi atacada diretamente — foi atacada pelos elos mais fracos da sua cadeia, hotéis com acesso privilegiado a PII de clientes mas sem controles equivalentes de segurança. A empresa resiliente exige dos fornecedores evidências de MFA resistente a phishing (passkeys, hardware tokens) e logs de acesso auditáveis — não apenas declaração contratual. Um programa de bug bounty com escopo estendido a APIs de parceiros teria superfície para identificar anomalias de autenticação e acesso indevido via credenciais comprometidas antes da exfiltração. O mesmo ataque replica-se em qualquer plataforma B2B2C onde parceiros acessam dados de usuários finais: fintechs, healthtechs, seguradoras e marketplaces de serviços enfrentam a mesma exposição estrutural.

Checklist CISO/CTO

Mapeie todos os fornecedores e integradores com acesso a PII de clientes ou colaboradores em produção e classifique por criticidade de acesso.
Exija evidências de MFA resistente a phishing (passkeys ou hardware tokens) nos próximos contratos e renovações com fornecedores que processam dados pessoais.
Alerte viajantes corporativos sobre phishing cirúrgico usando dados reais de reserva — instrua a não efetuar pagamentos via links recebidos por WhatsApp ou e-mail não solicitado.
Consulte o DPO sobre obrigação de registro do incidente no RoPA e notificação à ANPD conforme LGPD Art. 48, se dados de colaboradores brasileiros estão no escopo da plataforma.
Inclua SLA de notificação de incidente em até 24h como cláusula obrigatória nos próximos contratos com plataformas de viagem corporativa.
Valide se o seguro cyber vigente cobre perdas financeiras por fraude downstream derivada de breach em fornecedor terceiro.

Mapeamento de compliance

GDPR Art. 33 — Notificação à autoridade supervisora em até 72h após ciência do incidente (Booking.com notificou com 22 dias de atraso, reincidência da infração de 2021)
LGPD Art. 48 — Comunicação à ANPD e titulares em prazo razoável em caso de incidente de segurança com risco relevante
ISO 27001 A.15.2 — Monitoramento e revisão de serviços de fornecedores com acesso a ativos de informação classificados
SOC 2 CC9.2 — Gerenciamento de risco de fornecedores e parceiros de negócio com acesso a dados de clientes

Tipo de impacto

regulatory

Compliance

GDPR · LGPD · ISO27001 · SOC2

Setor

saas · ecommerce

Ler fonte original →

Programa de bug bounty sem dor de cabeça

Conecte sua empresa aos melhores hunters do Brasil.

Hunterspay é plataforma Managed Bug Bounty: escopo, triagem, pagamento e gestão de vulnerabilidades — tudo curado. Segurança contínua sem contratar hunter interno.

Cadastrar empresa →