A Booking.com confirmou, em 13 de abril de 2026, que terceiros não autorizados acessaram dados pessoais de uma parcela de seus usuários. O ataque expôs nomes completos, endereços de e-mail, números de telefone e detalhes de reservas. A empresa, sediada nos Países Baixos, notificou os clientes afetados individualmente e reportou o incidente ao regulador de privacidade holandês. Informações financeiras, como dados de cartão de crédito, não foram comprometidas. O número exato de vítimas não foi divulgado.
A Booking.com confirmou oficialmente, em 13 de abril de 2026, um vazamento de dados que expôs informações pessoais de clientes ao redor do mundo. O incidente foi reportado ao regulador de privacidade holandês — a Autoridade de Proteção de Dados dos Países Baixos — e os usuários afetados foram notificados por e-mail. A empresa se recusou a revelar o número total de pessoas impactadas.
O que foi exposto e como o ataque ocorreu
Terceiros não autorizados acessaram dados associados a reservas anteriores realizadas na plataforma. As informações comprometidas incluem nomes completos, endereços de e-mail, números de telefone e detalhes específicos das reservas. Dados enviados diretamente às acomodações via chat ou formulários internos também podem ter sido afetados.
A Booking.com garantiu que informações financeiras, como dados de cartão de crédito, não foram acessadas durante o ataque. Como medida de contenção imediata, a empresa atualizou os códigos PIN das reservas comprometidas.
Apesar do alívio em relação aos dados bancários, o conjunto de informações exposto é altamente sensível do ponto de vista operacional. Nomes, contatos, datas de viagem e pedidos especiais formam um perfil detalhado e convincente — exatamente o tipo de dado que alimenta campanhas de phishing sofisticadas.
Dados roubados já estão sendo usados em golpes via WhatsApp
A confirmação do risco prático veio rápido. Usuários relataram no Reddit receber mensagens de phishing via WhatsApp contendo detalhes reais e precisos de suas reservas. O nível de personalização das mensagens indica que os dados roubados já estão sendo explorados ativamente por cibercriminosos.
Esse padrão não é novidade. Em junho de 2024, a própria Booking.com alertou que ataques de phishing contra viajantes cresceram 900%, fenômeno atribuído em parte ao uso de inteligência artificial por agentes maliciosos para escalar e personalizar golpes em larga escala. O vazamento de dados atual oferece exatamente a matéria-prima que esse tipo de ataque demanda.
Para equipes de segurança corporativa, o cenário é preocupante: colaboradores que utilizam a plataforma para viagens de negócios podem se tornar vetores de entrada via engenharia social altamente direcionada.
Histórico de brechas e risco regulatório crescente
Este não é o primeiro episódio crítico envolvendo a segurança da Booking.com. Em 2018, a empresa foi multada em 475 mil euros pelo regulador holandês por demorar 22 dias para reportar um vazamento de dados que afetou cerca de 4 mil pessoas — violando o prazo máximo de 72 horas exigido pelo GDPR. O histórico de recorrência agrava a percepção regulatória sobre a maturidade dos controles da plataforma.
Com o novo incidente em 2026, a omissão sobre o número de afetados volta a colocar a empresa sob escrutínio. A transparência limitada na divulgação de brechas é, ela própria, uma infração potencial às obrigações de notificação previstas pelo GDPR — abrindo caminho para novas sanções.
A Booking Holdings, controladora da Booking.com, é avaliada em aproximadamente 137 bilhões de dólares e emprega mais de 24 mil pessoas globalmente. A empresa possui mais de 30 milhões de estabelecimentos de hospedagem cadastrados e, segundo dados próprios, acumula 6,8 bilhões de reservas de hotéis e acomodações desde 2010. A escala da operação amplifica o impacto potencial de qualquer brecha de segurança.
Implicações diretas para líderes de TI e cibersegurança
O incidente expõe vulnerabilidades estruturais que vão além da Booking.com e afetam todo o setor de viagens e hospitalidade. O comprometimento de dados via supply chain — especialmente por meio de credenciais de parceiros hoteleiros — é um vetor de ataque crescente e de difícil controle centralizado.
Para executivos de TI, o caso reforça a urgência de revisar políticas de acesso de terceiros, implementar monitoramento em tempo real de atividades suspeitas e estabelecer protocolos claros de resposta a incidentes. Empresas que utilizam plataformas de terceiros para gestão de viagens corporativas precisam mapear quais dados de colaboradores estão armazenados nessas soluções e como são protegidos.
O vazamento de dados também evidencia um ponto cego comum: a subestimação do risco representado por dados não financeiros. Informações contextuais de reservas — quando combinadas com IA — permitem a construção de ataques de engenharia social quase indistinguíveis de comunicações legítimas. Esse é o novo perímetro de risco que as equipes de segurança precisam endereçar com prioridade.
A recorrência de brechas em plataformas de alto volume de dados reforça que controles técnicos isolados são insuficientes. Governança contínua, auditorias de terceiros e cultura de segurança integrada à operação são requisitos, não diferenciais.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!