Booking.comは、顧客の予約詳細が不明な攻撃者に露出された可能性があると顧客に警告しており、これは旅行大手が自社プラットフォーム上を流れるデータを管理できていないことの最新の事例です。
同社は過去数日間、影響を受けたユーザーへのメール送信を開始し、「認可されていない第三者」がアカウントに関連する予約情報にアクセスした可能性があると述べています。問題のデータには、名前、連絡先詳細、予約日、およびプラットフォームを通じてホテルと交わされたメッセージが含まれているようです。
同社は金融データがアクセスされなかったことを主張することに力を入れていますが、どのくらいの数の顧客が影響を受けたかについては、はるかに詳しく述べていません。Booking.comはThe Registerのコメント要請に応じませんでした。
The Registerが入手した影響を受けたユーザーへのメールで、Booking.comは疑わしい活動を検出し、問題を封じ込め、予防措置として予約PINをリセットしたと述べています。顧客は露出されたデータの性質を考慮して、フィッシング試行に注意するよう指示されています。
「最近、複数のゲストの予約に影響を与える疑わしい活動に気付きました」とメールは記されています。「これにより、認可されていない第三者がこれらの予約の予約情報にアクセスできるようになった可能性があります。お客様のご予約を保護するために、ご予約確認書のPIN番号が変更されたことをゲストにお知らせするメールを送信しています。」
クレジットカード詐取の自由放題ではありませんが、それは説得力のあるフィッシングメールを非常に簡単にするデータの正にそのような種類です。プラットフォームの組み込みメッセージシステムは以前これのために悪用されており、しばしばホテルアカウントが侵害された後、正当な会話が支払い詐欺の配信チャネルに変わっています。
同社はデータがどのようにアクセスされたか、これがパートナーシステムの侵害に関連していたかどうか、または露出が発見される前にどのくらいの期間続いたかについては述べていません。
これもBooking.comがこのような立場に置かれたのは初めてではありません。2021年、オランダの規制当局は、ホテルスタッフのログイン情報の侵害に続いて、クレジットカード詳細を含む場合もある4,000人以上の顧客の個人データを露出させた侵害後、同社に475,000ユーロの罰金を科しました。その事件は、Booking.comに直接侵入するのではなく、サプライチェーンを通じてアクセスを得た攻撃者に基づいており、旅行セクター全体で繰り返し現れてきたパターンです。
この最新の侵害が同様のシナリオに従う場合、侵害自体は物語の半分にすぎないかもしれません。より直接的なリスクは、攻撃者が実際の予約データを使用して、ユーザーと基本的なセキュリティチェックの両方を通り抜けるのに十分に正当に見えるメッセージを作成する際の継続的なフィッシングです。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/13/bookingcom_breach/
