A Booking.com confirmou ter sido alvo de uma invasão cibernética. Terceiros não autorizados acessaram os sistemas da plataforma e obtiveram informações de reservas de clientes.
A empresa notificou os afetados por e-mail sobre o possível vazamento de dados pessoais e atualizou os PINs das reservas comprometidas como medida de contenção. O total de clientes impactados não foi divulgado.
O que foi acessado pelos invasores
Segundo a Booking.com, os dados potencialmente comprometidos incluem detalhes da reserva, nomes, endereços de e-mail e números de telefone associados ao cadastro, além de qualquer informação que o cliente tenha compartilhado com a acomodação no ato da reserva. A empresa assegurou que endereços residenciais não foram expostos.
A plataforma não confirmou quantos clientes foram afetados nem se usuários brasileiros estão entre as vítimas. Ainda assim, o g1 obteve o comunicado enviado a um consumidor brasileiro que havia feito uma reserva em outubro de 2025 — o que indica que o país pode estar no raio de impacto da invasão.
Em nota oficial, a Booking.com afirmou ter identificado atividades suspeitas envolvendo terceiros não autorizados e que agiu rapidamente para conter o problema. A atualização dos PINs e a comunicação direta com os viajantes foram as primeiras medidas adotadas após a detecção do incidente.
Alerta de phishing e escalada de ataques no Brasil
A Booking.com orienta os clientes afetados a manterem programas antivírus ativos em seus dispositivos e a ficarem atentos a tentativas de phishing — golpe em que criminosos enviam mensagens falsas se passando por empresas legítimas para roubar senhas e dados financeiros de usuários desatentos.
O incidente se encaixa em um cenário de escalada de ataques digitais contra empresas que operam no Brasil. Semanas antes da invasão à Booking.com, o BTG Pactual foi alvo de hackers que desviaram cerca de R$ 100 milhões via PIX, episódio que evidencia a sofisticação crescente das ameaças ao setor privado. Leia mais sobre o ataque ao BTG Pactual.
O padrão de acessos não autorizados a grandes plataformas também movimenta investigações no setor público. Em abril, a Polícia Federal desarticulou um grupo suspeito de invadir os sistemas do INSS e comprometer dados de milhões de segurados — um precedente que tende a ampliar o escrutínio regulatório sobre incidentes como o da Booking.com. Saiba mais sobre a operação da PF contra o grupo do INSS.