Il sito di Booking.com, una delle più grandi agenzie di viaggio online al mondo, avrebbe subito un’anomalia, dal momento che conferma di aver “rilevato alcune attività sospette legate all’accesso non autorizzato, da parte di soggetti terzi, ad alcune informazioni di prenotazione dei nostri utenti”. Ammette dunque un’anomalia, ma nega l’accesso alle informazioni finanziarie su Booking.com.
“Booking parla di ‘anomalia’, ma quella che ha rilasciato è un’affermazione interlocutoria che fornisce poche informazioni significative sull’incidente “, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Tuttavia gli utenti sono già nel mirino di messaggi (phishing e smishing) e potrebbero incautamente consegnare dati sensibili (compresi numeri di carte) ai cyber criminali.
Ecco quali sono i rischi per gli utenti di Booking attaccati e tutte le ipotesi su ciò che potrebbe essere successo.
Indice degli argomenti
Caso Booking: ecco cosa sappiamo
A quanto risulta, gli utenti stanno ricevendo messaggi WhatsApp dove criminali riescono a spacciarsi per gli alberghi, grazie ai dati della prenotazione (che scrivono nel testo dei messaggi), facendosi consegnare dati delle carte di credito richieste illecitamente con la scusa che servono per conferma.
Booking invece cerca di minimizzare l’accaduto.
“Non appena individuata l’anomalia, siamo intervenuti tempestivamente per contenerla. Abbiamo inoltre aggiornato il codice PIN associato alle prenotazioni interessate e informato gli utenti coinvolti”, scrive il sito utilizzato per cercare, confrontare e prenotare hotel, appartamenti, case vacanze, B&B e altre strutture ricettive in tutto il mondo.
“Non sappiamo però se l’anomalia (di cui parla Booking nel comunicato) abbia determinato attacchi verso singoli utenti’ oppure se la formula usata da Booking sia un modo elegante per ammettere una falla nei suoi sistemi o in quelli di un fornitore di terze parti e che sia stata sfruttata da un attaccante”, secondo Paganini.
Ma Il termine “anomalia” potrebbe essere stato utilizzato per informare gli utenti di un “problema che dipende da loro”. Tuttavia non possiamo escludere che lo stesso termine sia stato utilizzato in un accezione diversa ovvero in riferimento agli accessi anomali ossia abusivi individuati.
Tutte le ipotesi
Ad oggi non è affatto chiaro se si sia trattato di una campagna di credential stuffing con compromissione di singoli utenti, piuttosto che la compromissione di un fornitore di terze parti, o l’azienda stessa.
Paolo Dal Checco via Whatsapp dice a Cybersecurity.it di escludere che i cyber criminali abbiano fatto “brute force delle password degli utenti”, si tratta dell’ipotesi meno probabile.
Sarebbe inoltre “utile sapere se qualcuno degli utenti impattati avesse attivato il doppio fattore di autenticazione (2FA) per il suo account. In tal caso la situazione sarebbe completamente differente e paleserebbe la compromissione dei sistemi aziendali”, mette in evidenza Paganini.
Dalla comunicazione di Booking si evince “che stanno tutti rimbalzando come hackeraggio, ma non riesco a percepire se si tratti di ‘hackeraggio verso booking’, ‘hackeraggio verso strutture ricettive’, ‘0hackeraggio verso gestionali terzi’ – aggiunge Dario Fadda, esperto di cyber e collaboratore dI Cybersecurity360.it – Non è per nulla chiaro e temo che la comunicazione stia venendo travisata. Inoltre in giro non trovo nessuna traccia di questo ipotetico hackeraggio contro Booking”.
Tuttavia, secondo Dario Fadda, “è molto più facile che il data breach sia degli hotel o di un suo fornitore di software. Se Booking fosse bucato, la comunicazione sarebbe arrivata a tutti o comunque resa pubblica con maggiori dettagli”.
I precedenti contro il settore turistico
Lo scorso gennaio 2026, abbiamo scoperto che una campagna malware, rilevata nel 2025, continua in realtà a mietere vittime, sfruttando una falsa pagina di Booking.com per costringere gli utenti a copiare una porzione di codice e a incollarla nella finestra di dialogo “Esegui” di Windows.
Nel settembre 2023, Akamai aveva rilevato che criminal hacker utilizzavano un approccio indiretto e una falsa pagina di pagamento di Booking.com per ottenere un accesso illimitato ai dati finanziari dei clienti. In quel caso il rischio era il furto dei dati finanziari e delle credenziali di accesso dei clienti, attraverso una falsa pagina web di Booking.com usata come esca.
I rischi per gli utenti di Booking attaccati
I rischi per gli utenti sono tutti gli attacchi alle identità. Stuffing delle credenziali, password spraying, phishing e social engineering. Crescono infatti gli incidenti legati a credenziali compromesse e autenticazione abusiva: secondo Sophos, il 67% degli attacchi parte dalle identità digitali.
Al di là delle ipotesi, Booking.com invita gli utenti a prestare attenzione ai potenziali attacchi di phishing. Il sito infatti “non chiederà mai agli utenti di condividere i dati della carta di credito via email, telefono, WhatsApp o SMS, né di effettuare un bonifico bancario diverso dai dettagli della politica di pagamento riportati nella conferma della prenotazione”.
Gli utenti devono evitare di fare clic su collegamenti non richiesti, anche se sembrano provenire da contatti legittimi, diffidando dei messaggi urgenti o minacciosi che richiedono azioni immediate e urgenti, monitorando attentamente gli URL per individuare eventuali segnali di inganno.
Tuttavia, per evitare di cadere vittima di campagne di phishing più complesse, si consiglia di contattare direttamente l’azienda a un indirizzo email o a un numero di telefono ufficiale e chiedere chiarimenti sul messaggio ricevuto.
