Booking.com a confirmé que des pirates ont accédé sans autorisation aux données de réservation des clients dans le cadre d’une violation de cybersécurité ayant exposé des informations personnelles, notamment des noms, adresses e-mail, numéros de téléphone et détails de réservation.
La plateforme de voyage, dont le siège est à Amsterdam, a commencé à informer les utilisateurs concernés dimanche soir d’une activité suspecte liée à certaines réservations. L’entreprise n’a pas précisé combien de clients étaient touchés ni quand la violation s’était produite.
Nous avons récemment remarqué une activité suspecte affectant un certain nombre de réservations et avons immédiatement pris des mesures pour contenir le problème. La sécurité de vos informations personnelles est notre priorité absolue.
Booking.com — Courriel aux clients concernés
Les informations exposées pourraient inclure des détails de réservation, des noms, des adresses e-mail, des adresses postales, des numéros de téléphone et toutes les notes que les clients ont partagées directement avec les hébergements. L’entreprise a souligné que les informations financières et les données de cartes de crédit n’ont pas été consultées lors de cet incident.
Booking.com a réinitialisé les codes PIN de toutes les réservations concernées et a indiqué que la situation était désormais sous contrôle. La plateforme met en relation des millions de voyageurs avec plus de 30 millions d’hébergements dans le monde via son système de réservation.
The Guardian présente cet incident comme faisant partie d’un schéma préoccupant d’échecs en matière de cybersécurité chez Booking.com, soulignant l’historique de violations et d’amendes réglementaires de l’entreprise. Leur couverture met en lumière le problème plus large de l’industrie concernant les fausses annonces et les arnaques, positionnant cet incident dans le cadre des faiblesses systémiques de sécurité des plateformes plutôt que comme un événement isolé.
DutchNews propose un reportage direct qui contextualise la violation dans le paysage récent de la cybersécurité aux Pays-Bas, en référence à la violation majeure d’Odido, l’opérateur télécom. Leur couverture met l’accent sur le siège d’Amsterdam de l’entreprise et son environnement réglementaire, traitant cet incident comme un événement significatif mais gérable exigeant transparence et procédures de divulgation appropriées.
Il s’agit du dernier défi en matière de cybersécurité pour ce géant du voyage, qui a déjà eu du mal à lutter contre les arnaques en ligne ciblant sa plateforme. Les fraudeurs utilisent de plus en plus des tactiques d’hameçonnage pour demander des détails de paiement afin de vérifier des voyages, puis facturent des montants non autorisés.
En 2018, des criminels ont utilisé des méthodes d’hameçonnage similaires pour voler les identifiants de connexion d’employés d’hôtels aux Émirats arabes unis, accédant ainsi aux données de réservation de plus de 4 000 utilisateurs de la plateforme. Cet incident avait entraîné une amende de 475 000 € après que Booking.com eut signalé la violation aux régulateurs néerlandais de la protection des données avec 22 jours de retard.
Cette violation intervient alors que l’industrie est sous le feu des projecteurs en raison de la prolifération de fausses annonces sur les sites de réservation. Booking.com fait partie de Booking Holdings, la société américaine de 137 milliards de dollars qui possède également OpenTable, Agoda et Kayak, et emploie plus de 24 000 personnes dans le monde.
L’entreprise n’a pas fourni de détails techniques sur la manière dont la violation s’est produite ni si elle est liée à des campagnes d’hameçonnage en cours ciblant les hôtels utilisant sa plateforme. Tous les clients concernés ont été contactés directement, selon les représentants de l’entreprise.