Zarezervujete si ubytování přes Booking.com a riskujete, že zůstanete bez peněz i bez dovolené

Booking.com potvrdil, že hackeři získali přístup k rezervačním údajům části zákazníků. Podvodníci tak mohou psát jménem hotelu.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Booking

Zpráva přišla přes WhatsApp. Správné jméno, správný hotel, správný termín pobytu, správné číslo rezervace. „Potřebujeme znovu ověřit vaši platební kartu, jinak bude rezervace zrušena.“ Jeden z dotčených zákazníků řekl TechCrunch, že takovou zprávu dostal ještě dřív, než ho Booking.com oficiálně upozornil na únik dat, jak redakce Mobify zjistila. Právě v tom spočívá jádro problému – unikla přesně ta kombinace údajů, která z podvodu dělá téměř nerozeznatelnou komunikaci „vašeho“ hotelu.

Jak se útočníci dostali k datům

Začátek řetězce neleží u Bookingu, ale u hotelů. Microsoft v březnu 2025 popsal phishingovou kampaň skupiny Storm-1865, která cílila na pracovníky hotelů a cestovních agentur napříč Evropou, Severní Amerikou i jihovýchodní Asií. Útočníci posílali e-maily vydávající se za Booking.com, obsahující stížnosti hostů, ověřovací výzvy nebo obchodní nabídky. Uvnitř čekala technika zvaná ClickFix, tedy falešná stránka s CAPTCHA, která oběť přiměla spustit škodlivý příkaz.

Výsledkem byla instalace malwaru, konkrétně nástrojů XWorm, VenomRAT, AsyncRAT a dalších, schopných krást přihlašovací údaje a přistupovat k hotelovým systémům.

Jakmile útočník ovládl partnerský účet hotelu, získal přístup k rezervačním datům hostů, tedy jméno, e-mail, telefon, detaily pobytu, případně další informace, které host s ubytováním sdílel. Booking.com 13. dubna 2026 začal dotčené zákazníky informovat a resetoval PINy jejich rezervací.

Co přesně uniklo, a kde se zdroje rozchází

Potvrzené minimum zahrnuje jméno, e-mailovou adresu, telefonní číslo a detaily rezervace. Booking přes svou mluvčí pro TechCrunch uvedl, že finanční údaje přístupné nebyly. Sporným bodem zůstávají fyzické adresy: zákaznický e-mail a část médií včetně Guardianu je řadí mezi uniklá data, Booking to ale následně popřel. Obě verze existují veřejně vedle sebe a firma rozpor blíže nevysvětlila.

Kolik lidí bylo zasaženo, Booking nezveřejnil. Mluvčí pouze uvedla, že kompromitovaní ubytovací partneři tvoří „malý zlomek“ nabídky platformy. U služby se 100 miliony aktivních uživatelů může i malý zlomek znamenat tisíce rezervací.

Proč je tohle nebezpečnější než běžný únik

Databáze e-mailů a hesel se prodávají na dark webu po milionech. Většina lidí je ignoruje. Tady je situace jiná. Podvodník nepíše „Vážený zákazníku“, ale oslovuje vás jménem, zná váš hotel, datum příjezdu i typ pokoje. Přesně tento scénář už v Česku vedl ke skutečným ztrátám:

• Policie ČR v Královéhradeckém kraji popsala případ, kdy poškozený po věrohodné komunikaci s „hotelem“ přes WhatsApp přišel o téměř 20 tisíc korun.
• Krajské ředitelství v Olomouci eviduje další případ se škodou přes 38 tisíc korun, opět šlo o falešnou výzvu k platbě s údaji odpovídajícími skutečné rezervaci.

Oba případy spadají do staršího období a nejsou přímo navázány na dubnový incident. Způsob provedení je ale totožný. A s čerstvě uniklými daty mají podvodníci materiál na další vlnu.

Jak se bránit

Nejúčinnější obrana stojí na jednoduchém pravidle: nikdy nezadávat údaje ke kartě přes odkaz zaslaný e-mailem, přes WhatsApp nebo SMS, a to ani tehdy, když zpráva vypadá, že přišla od hotelu.

• Zkontrolujte svůj účet na Booking.com – hledejte oficiální upozornění a ověřte, zda nebyl změněn PIN rezervace.
• Každou platební výzvu porovnejte s původním potvrzením rezervace. Pokud při rezervaci nebylo nic o doplatku, žádný doplatek nepřišel.
• Ověřujte přímo – zavolejte na recepci hotelu číslem z jeho webu, ne z doručené zprávy.
• Pokud jste údaje už zadali, okamžitě kontaktujte banku, zablokujte kartu a požádejte o chargeback.

Policie ČR výslovně doporučuje nevyplňovat údaje z karty přes zaslané odkazy a každý neočekávaný požadavek ověřovat nezávislým kanálem.