Booking.com cảnh báo dữ liệu đặt phòng có thể đã bị kẻ xấu đánh cắp

Booking.com đang cảnh báo khách hàng rằng thông tin đặt phòng của họ có thể đã bị lộ cho các kẻ tấn công chưa xác định, một lời nhắc nhở mới nhất cho thấy "ông lớn" du lịch này vẫn đang gặp khó khăn trong việc kiểm soát hoàn toàn dữ liệu trên nền tảng của mình.

Trong vài ngày qua, công ty đã gửi email cho những người dùng bị ảnh hưởng, cho biết các "bên thứ ba trái phép" có thể đã truy cập được thông tin đặt phòng liên quan đến tài khoản của họ. Dữ liệu bị lộ dường như bao gồm tên, thông tin liên lạc, ngày đặt phòng và bất kỳ tin nhắn nào được trao đổi với khách sạn thông qua nền tảng.

Mặc dù công ty khẳng định dữ liệu tài chính không bị xâm phạm, họ lại khá dè dặt khi không tiết lộ số lượng khách hàng cụ thể bị ảnh hưởng. Booking.com cũng chưa phản hồi yêu cầu bình luận từ các phương tiện truyền thông.

Trong email gửi đến người dùng bị ảnh hưởng, Booking.com cho biết họ đã phát hiện hoạt động đáng ngờ, đã cô lập vấn đề và đặt lại mã PIN đặt phòng như một biện pháp phòng ngừa. Khách hàng được khuyên nên cảnh giác với các nỗ lực lừa đảo (phishing) – một rủi ro đáng kể xét đến tính chất của dữ liệu bị lộ.

"Chúng tôi gần đây nhận thấy hoạt động đáng ngờ ảnh hưởng đến một số đặt phòng của khách. Điều này có thể dẫn đến việc bên thứ ba trái phép có thể truy cập thông tin đặt phòng cho các lượt đặt này. Chúng tôi đang gửi email thông báo cho khách rằng, để bảo mật đặt phòng của họ, số PIN cho xác nhận đặt phòng đã được thay đổi", email viết.

Mặc dù đây không phải là một vụ đánh cắp dữ liệu thẻ tín dụng tràn lan, nhưng đây chính là loại dữ liệu giúp tạo ra những email lừa đảo cực kỳ thuyết phục. Hệ thống nhắn tin tích hợp của nền tảng này từng bị lợi dụng cho mục đích này trước đây, thường là sau khi tài khoản của khách sạn bị xâm phạm, biến các cuộc trò chuyện hợp pháp thành kênh phân phối cho các trò lừa đảo thanh toán.

Công ty chưa nói rõ cách thức dữ liệu bị truy cập, liệu việc này có liên quan đến việc xâm nhập hệ thống đối tác hay không, cũng như thời gian lộ dữ liệu kéo dài bao lâu trước khi được phát hiện.

Đây cũng không phải lần đầu tiên Booking.com rơi vào tình huống này. Vào năm 2021, cơ quan quản lý Hà Lan đã phạt công ty 475.000 euro sau một vụ lộ dữ liệu cá nhân của hơn 4.000 khách hàng, bao gồm cả chi tiết thẻ tín dụng trong một số trường hợp, sau khi tài khoản đăng nhập của nhân viên khách sạn bị xâm phạm. Vụ việc đó xoay quanh việc kẻ tấn công truy cập thông qua chuỗi cung ứng thay vì tấn công trực tiếp vào Booking.com, một mô hình đã lặp đi lặp lại trong ngành du lịch.

Nếu vụ xâm phạm mới này tuân theo kịch bản tương tự, thì bản thân vụ việc rò rỉ dữ liệu có thể chỉ là một phần của câu chuyện. Rủi ro trực tiếp hơn hiện nay là các cuộc tấn công lừa đảo tiếp theo, khi tin tặc sử dụng dữ liệu đặt phòng thật để soạn thảo các thông điệp trông hợp pháp đến mức có thể lọt qua mắt người dùng cũng như các kiểm tra bảo mật cơ bản.