Dovolené se blíží a Booking.com to nezvládl. Přiznal únik dat – jména, adresy, telefony a mnoho dalšího

Booking.com potvrdil, že se neznámí útočníci dostali k rezervačním údajům části hostů. Před letní sezónou se otevírá dveře podvodům, které vypadají děsivě.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Booking

V neděli 12. dubna večer začaly do schránky některých zákazníků Booking.com padat e-maily, které nikdo nečekal. Firma v nich přiznala, že neoprávněné třetí strany získaly přístup k rezervačním informacím: jménům, e-mailovým a fyzickým adresám, telefonním číslům, detailům pobytů a „dalším údajům, které jste mohli s ubytováním sdílet“. Následující den mluvčí Courtney Camp potvrdil incident pro TechCrunch a dodala, že firma změnila PIN dotčených rezervací a obdržela příslušné úřady. Kolik lidí bylo zasaženo, odmítla říct. A právě ta neznámá dělá z celé věci problém, který se týká každého, kdo má na platformě aktivní rezervaci na léto.

Co přesně uniklo, a proč to stačí

Booking.com potvrdil jeho systémy, že platební údaje nebyly přístupné. To zní uklidňujícně, jenže podvodníci číslo karty nepotřebují. Stačí jim kombinace, kterou teď mají:

• Jméno a kontakt – vědí, komu píšou.
• Detaily rezervace – hotel, termín, počet nocí, případně čas příjezdu.
• Další sdílené informace – zvláštní požadavky, zprávy ubytování, poznámky k pobytu.

Firma přesný rozsah poslední kategorie nezveřejnila. Podle e-mailu, který viděla nizozemská agentura ANP a citoval NL Times , jde o „jakékoli další informace, které jste mohli sdílet s ubytováním“. Spadají sem i banální detaily typu „přijedeme pozdě, nechte klíč na recepci“, a právě takový detail v rukou útočníka dodá falešnou zprávu punc autenticity, který běžný phishing nemá.

Proč je načasování tak nebezpečné

Duben je měsíc, kdy se plní letní kalendáře. Miliony rezervace jsou čerstvé, hosté čekají potvrzení, ubytování posílá instrukce. Přesně do tohoto okna útočníci míří.

Není to spekulace. Microsoft v březnu 2025 popsal rozsáhlou phishingovou kampaň cílenou na hotelové partnery Booking.com, vedenou v období před nejrušnějšími cestovními dny. Bezpečnostní firma Sekoia o několik měsíců později rozložila konkrétní scénář: útočník kompromituje hotelový partnerský účet, získá reálné detaily rezervace a přes WhatsApp nebo e-mail pošle hostiteli žádost k „ověření karty“ nebo doplatku, jinak prý bude rezervace zrušena. Zpráva obsahuje správný hotel, správný termín, správné jméno. Oběť zaplatí, aniž zaváhá.

Booking.com technický vektor dubnového průniku neupřesnil. Ale model útoku i načasování odpovídají vzorům, kteří bezpečnostní výzkumníci dokumentují už přes rok.

Firma, která se učí pomalu

Není to poprvé. V roce 2018 se útočníci dostali k datům 4 109 lidí přes 40 hotelů ve Spojených arabských emirátech, tentokrát včetně platebních karet. Booking.com tehdy incident nahlásil s 22denním zpožděním. Nizozemský regulátor AP mu za to vyměřil pokutu 475 tisíc eur. V roce 2023 skončila firma pod zesíleným dohledem kvůli dalším pochybnostem nad hlášením úniků.

Tentokrát Booking rychle: hosté informovali v řádu dnů, PINy změnil, incident zanesla mateřská skupina Booking Holdings i do regulačního podání 10-Q ze 28. dubna 2026 . Zároveň ale tatáž skupina ve své výroční zprávě za rok 2025 přiznává historii cílených malwarových, phishingových a account-takeover útoků a konstatuje, že její stávající opatření „nebyla vždy úspěšná“. U firmy, která provozuje ve více než 220 zemích a spravuje přes 31 milionů nabídek ubytování, to není drobná poznámka pod čarou.

Co udělám, než odletíte

Odejít z platformy je jedna možnost. Praktičtější je chovat se tak, jako by každá nečekaná výzva k platbě u aktivní rezervace byla podvod, protože po tomto incidentu pravděpodobně je.

• Nic neplaťte přes odkaz z e-mailu, SMS, WhatsApp ani po telefonu.
• Rezervaci otevřete jen přes aplikaci nebo web Booking.com, přes odkaz ve zprávě.
• Zkontrolujte platební podmínky v původním potvrzení. Pokud vám někdo tvrdí, že musíte doplatit, av potvrzení nic takového není, je to signál.
• Komunikujte s ubytováním výhradně přes messaging na platformě, ne mimo ni.
• Zapněte dvoufaktorové ověření (2FA) na svém účtu.
• Při podezřelé výzvě kontaktujte podporu Booking.com, podle oficiálních bezpečnostních stránek nikdy nechce heslo ani číslo karty, pouze rezervační ID nebo PIN.

Číslo, které chybí

Booking.com odmítl sdělit, kolik hostů bylo zasaženo, a nezveřejnil ani geografické omezení incidentu. Nedá se tedy spolehnout, že se vás to netýká. Žádný veřejný nástroj pro ověření postižených rezervací neexistuje. Jediným indikátorem je notifikační e-mail od firmy a změněný PIN, a pokud ani jednou nepřišlo, neznamená to automaticky klid, jen to, že Booking zatím neklepl na vaše dveře.

Letní sezóna si platforma pokazila dřív, než začala. Rezervace na ní přijde fungovat dál, ale důvěra teď stojí na tom, jestli se každý hostitel naučí jednu věc: cokoliv, co mimo oficiální rozhraní a chce peníze, ignorovat.