A Booking.com informou, em 13 de abril de 2026, que houve acesso não autorizado a dados de uma parcela de seus usuários. O ataque expôs nomes completos, endereços de e-mail, números de telefone e detalhes de reservas, incluindo comunicações com acomodações.
A empresa, com sede nos Países Baixos, notificou os clientes afetados por e-mail e reportou o incidente à Autoridade Holandesa de Proteção de Dados. Dados financeiros, como informações de cartão de crédito, não foram comprometidos.
O número exato de vítimas não foi divulgado. Como medida de contenção, foram atualizados os PINs de reservas comprometidas, e a Booking.com reiterou que não houve violação de dados financeiros.
Relatos indicam que os dados roubados já estão sendo usados em golpes de phishing via WhatsApp, com mensagens personalizadas que incluem detalhes reais de reservas. O caso reacende preocupações sobre ataques de engenharia social impulsionados por IA, tema que já havia sido destacado em 2024.
Historicamente, o caso aumenta o escrutínio regulatório sobre a empresa. Em 2018, a Booking.com foi multada por demorar a reportar um vazamento de dados de cerca de 4 mil pessoas, violando o GDPR. Especialistas ressaltam que a transparência, a governança de dados e a gestão de terceiros na cadeia de suprimentos precisam ser fortalecidas para mitigar riscos futuros.
