A Booking.com confirmou ter sofrido uma violação de dados em abril de 2026, quando terceiros não autorizados acessaram informações de reservas de clientes. A empresa, que integra o grupo Booking Holdings avaliado em US$ 137 bilhões e emprega mais de 24 mil pessoas globalmente, detectou atividade suspeita em seus sistemas através de ferramentas de monitoramento interno.
Dados comprometidos e impacto
O ataque resultou na exposição de múltiplas categorias de informações sensíveis. Os invasores acessaram detalhes de reservas, nomes completos, endereços de e-mail, números de telefone e conteúdo compartilhado entre clientes e acomodações. Os PINs das reservas — códigos usados para acessar e gerenciar reservas — também foram comprometidos, levando a empresa a alterá-los preventivamente.
A Booking.com confirmou que informações financeiras e endereços residenciais dos clientes não foram acessados durante o incidente. Clientes brasileiros estão entre os afetados, com pelo menos um caso confirmado de reserva realizada em outubro de 2025 que teve dados expostos.
Resposta ao incidente e comunicação
Após detectar a atividade suspeita, a empresa implementou medidas de contenção imediatas. Todos os PINs de reservas potencialmente afetadas foram alterados como precaução. A Booking.com iniciou o processo de notificação aos clientes impactados através de comunicados por e-mail, alertando sobre o incidente e fornecendo orientações de segurança.
No comunicado enviado aos clientes, a empresa recomendou medidas preventivas específicas contra possíveis ataques de phishing — técnica onde criminosos se passam por empresas legítimas para roubar informações. As orientações incluem a instalação de programas antivírus atualizados e vigilância redobrada com e-mails suspeitos que possam explorar os dados vazados.
Contexto histórico e riscos futuros
Este não é o primeiro incidente de segurança envolvendo a plataforma. Em 2018, criminosos utilizaram técnicas de phishing contra funcionários de hotéis nos Emirados Árabes Unidos, comprometendo dados de mais de 4 mil pessoas. Naquela ocasião, a empresa foi multada em €475.000 pelo regulador holandês devido ao atraso na notificação do incidente.
O vazamento atual apresenta riscos significativos para os clientes afetados. Com acesso a nomes, e-mails, telefones e detalhes de viagem, criminosos podem executar ataques de phishing altamente personalizados. Esses golpes direcionados, conhecidos como spear phishing, são particularmente eficazes porque utilizam informações reais da vítima para parecerem legítimos.
Lacunas técnicas e transparência
A Booking.com manteve sigilo sobre aspectos críticos do incidente. O vetor de ataque inicial — como os invasores conseguiram acesso aos sistemas — não foi divulgado. A empresa também não revelou o número total de clientes afetados globalmente ou no Brasil, nem forneceu detalhes técnicos sobre as vulnerabilidades exploradas.
A ausência de informações sobre CVEs (Common Vulnerabilities and Exposures) ou indicadores técnicos de comprometimento dificulta a avaliação completa do impacto e a implementação de medidas preventivas por outras organizações do setor. Esta falta de transparência técnica é uma prática comum em violações corporativas, mas limita o aprendizado coletivo da indústria.
Para clientes potencialmente afetados, especialistas recomendam monitorar comunicações bancárias, alterar senhas de contas relacionadas e manter vigilância contra tentativas de phishing que explorem as informações vazadas. A orientação é desconfiar especialmente de e-mails que solicitem confirmação de dados pessoais ou financeiros, mesmo que pareçam vir da Booking.com.