Chi ha una prenotazione attiva su Booking.com e ha ricevuto nelle ultime ore una mail con un nuovo codice PIN farebbe bene a non ignorarla. Non si tratta di spam, né di un tentativo di phishing. È esattamente il contrario: la piattaforma ha confermato che c’è stato un accesso non autorizzato ai dati di alcuni utenti e quella comunicazione è il segnale che il proprio account è tra quelli coinvolti.
La notizia è di quelle che fanno rumore, perché Booking.com non è un servizio di nicchia. È una delle piattaforme di prenotazione più utilizzate al mondo, con centinaia di milioni di utenti attivi. E quando un colosso del genere ammette una violazione dei dati, le implicazioni sono tutt’altro che trascurabili.
Quali dati sono stati esposti e perché è un problema serio
Secondo quanto dichiarato dalla stessa Booking.com, le informazioni finite nelle mani sbagliate comprendono nomi, indirizzi email, numeri di telefono, indirizzi fisici e tutti i dettagli relativi alle prenotazioni. Compresi, e questo è il punto più delicato, i messaggi scambiati tra ospiti e strutture ricettive. Una mole di dati personali non indifferente, insomma.
Quello che non si sa, al momento, è quante persone siano state effettivamente colpite dalla violazione. Booking.com non ha fornito numeri precisi, ma su Reddit diversi utenti hanno già confermato di aver ricevuto la mail di notifica. Il che lascia pensare che la portata dell’incidente non sia proprio marginale.
C’è però una nota positiva, e vale la pena sottolinearla: i dati di pagamento risultano al sicuro. Un portavoce di Booking.com ha dichiarato che le informazioni finanziarie non sono state toccate dall’intrusione. Nessun numero di carta di credito, nessun dato bancario compromesso. Almeno su questo fronte, la situazione appare sotto controllo.
Il problema vero, però, è un altro. Quei dati che sembrano “meno sensibili” sono in realtà il materiale perfetto per costruire attacchi di phishing estremamente credibili. Basta pensarci un attimo: un messaggio WhatsApp che arriva con il nome corretto della persona, il nome dell’hotel prenotato e la data esatta del check in è infinitamente più convincente di una truffa generica piena di errori grammaticali. E infatti almeno un utente ha già segnalato di aver ricevuto un messaggio sospetto di questo tipo circa due settimane fa, costruito evidentemente con i dati sottratti durante la violazione.
Come proteggersi dopo la violazione di Booking.com
Il consiglio più importante, a questo punto, è abbastanza diretto: non cliccare su link sospetti che arrivano via SMS o WhatsApp in relazione a prenotazioni, anche quando sembrano perfettamente legittimi. Anzi, soprattutto quando sembrano legittimi, perché è proprio quello l’obiettivo del phishing ben fatto. Chi ha dubbi su una comunicazione dovrebbe sempre verificare direttamente nell’app di Booking.com oppure accedendo al sito ufficiale, senza passare da link ricevuti su canali esterni.
Un episodio del genere ricorda quanto i dati personali circolino su un numero di piattaforme molto più alto di quanto si tenda a immaginare. E che anche un servizio utilizzato quotidianamente da milioni di persone in tutto il mondo non è immune da questo tipo di violazioni.
