Czy moje dane na pewno wyciekły, jeśli korzystałem z Booking.com?

Nie ma pewności bez oficjalnej notyfikacji od platformy lub CERT Polska. Jeśli rezerwowałeś w ciągu ostatnich 24 miesięcy, traktuj to jako prawdopodobne i podejmij kroki ostrożnościowe - zmień hasło, włącz 2FA, sprawdzaj transakcje na karcie. Booking.com ma obowiązek prawny poinformować cię indywidualnie, jeśli twoje dane są objęte wyciekiem potwierdzonym przez audyt.

Jak rozpoznać phishingową wiadomość rzekomo od Booking.com?

Prawdziwa komunikacja Booking nigdy nie prosi o pełne dane karty, CVV, kodu BLIK ani haseł przez SMS ani e-mail. Każda pilność („masz 24h na potwierdzenie”) to czerwona flaga. Sprawdzaj domenę linku - oficjalna to booking.com, a nie np. booking-payment.com czy booking.secure-login.net. Zaloguj się ręcznie przez aplikację zamiast klikać link.

Co zrobić, jeśli kliknąłem w podejrzany link i podałem dane karty?

Natychmiast zadzwoń do banku i zastrzeż kartę - numer znajdziesz na odwrocie. Zmień hasło do konta bankowego i Booking.com. Zgłoś incydent do CERT Polska przez incydent.cert.pl lub wysyłając SMS na numer 8080. Jeśli doszło do obciążenia karty, złóż chargeback w banku w ciągu 120 dni - to twoje prawo wynikające z regulacji Visa i Mastercard.

Czy Booking.com wypłaci mi odszkodowanie za wyciek danych?

Raczej nie automatycznie. Platforma argumentuje, że wycieki pochodzą z systemów partnerów (hoteli), nie z jej infrastruktury. Jeśli poniosłeś realną szkodę finansową (np. skradzione pieniądze z karty), możesz dochodzić roszczeń na drodze cywilnej, powołując się na RODO. Zbierz dowody: zrzuty ekranu, wyciągi bankowe, korespondencję. Zgłoszenie do UODO może wesprzeć sprawę.

Czy korzystanie z wirtualnej karty rozwiązuje problem?

W dużej mierze tak. Wirtualne karty jednorazowe (Revolut, mBank, Millennium) generują numer ważny tylko do jednej transakcji. Nawet jeśli dane wyciekną, oszust nie wykona drugiej płatności. Minus: niektóre hotele pobierają kaucję przy zameldowaniu - wtedy potrzebujesz karty wielokrotnego użytku z limitem, który możesz ograniczyć w aplikacji banku na czas pobytu.

Czy dwuetapowa weryfikacja na Booking.com naprawdę chroni przed wyciekami?

Chroni konto przed nieautoryzowanym logowaniem, ale nie przed wyciekiem danych z systemów hoteli-partnerów. 2FA zapobiegnie przejęciu twojego konta nawet jeśli hasło wycieknie. Niestety nie zatrzyma sytuacji, w której zainfekowany hotel wysyła ci phishingową wiadomość przez oficjalny system Booking. To dwie różne warstwy zabezpieczeń i obie są potrzebne.

technologie

Wyciek danych z Booking.com - CERT Polska potwierdza, polscy użytkownicy w grupie ryzyka

Redakcja finwire.pl·18 kwietnia 2026 06:22·7 min czytania

CERT Polska potwierdził w tym tygodniu, że wyciek danych użytkowników Booking.com objął również Polaków. To nie jest nowy atak na samą platformę - to znajoma historia, która wraca jak bumerang od 2023 roku, kiedy przestępcy zaczęli masowo wyłudzać dane od hotelarzy współpracujących z serwisem.

Stan na kwiecień 2026: skala incydentu nie została jeszcze oficjalnie ujawniona przez Booking.com, ale CERT Polska w komunikacie wskazał, że do zespołu trafiają zgłoszenia od użytkowników z całego kraju. Wyciekły dane rezerwacji - imiona, nazwiska, adresy e-mail, numery telefonów, daty pobytu i częściowe informacje o płatnościach.

I tu zaczyna się problem. Bo sam wyciek to dopiero początek.

Jak dokładnie wygląda atak i dlaczego działa

Oszuści wykorzystujący wykradzione dane nie strzelają na oślep - uderzają precyzyjnie. Ofiara dostaje SMS lub e-mail tuż przed planowanym pobytem, z poprawnymi danymi rezerwacji: nazwą hotelu, datą, kwotą. Wiadomość sugeruje, że „należy potwierdzić kartę płatniczą” albo „dopłacić zaliczkę”, a link prowadzi do łudząco podobnej strony Booking.com.

Powiedzmy sobie szczerze - ten scenariusz jest niebezpieczny, bo łamie standardową radę „nie klikaj w podejrzane linki”. Wiadomość nie jest podejrzana. Ma twoje prawdziwe dane.

Klucz:

Booking.com NIGDY nie prosi o podanie pełnych danych karty płatniczej przez SMS ani e-mail. Jeśli dostajesz taką wiadomość - to phishing, nawet jeśli zawiera prawdziwe dane twojej rezerwacji.

Co konkretnie wyciekło i skąd

Według dotychczasowych ustaleń CERT Polska oraz analiz firm cyberbezpieczeństwa, źródłem wycieków nie są systemy samego Booking.com, a panele partnerów - czyli hoteli korzystających z platformy Extranet. Moim zdaniem to istotne rozróżnienie, bo pokazuje gdzie leży słaby punkt.

Atakujący od miesięcy wysyłają pracownikom hoteli infostealery (najczęściej Vidar i RedLine) ukryte w plikach udających skargi gości. Jeden kliknięty załącznik w recepcji = dostęp do całego panelu partnera, a tam historie rezerwacji tysięcy klientów.

Firma ESET w raporcie z 2024 roku szacowała, że tylko w jednej kampanii zainfekowano ponad 900 hoteli na świecie. W 2026 mamy kontynuację tego trendu - tyle że z większą skalą i lepszym targetowaniem polskich użytkowników.

Co to oznacza dla Ciebie

Jeśli korzystałeś z Booking.com w ciągu ostatnich 24 miesięcy, zakładaj, że twoje dane rezerwacyjne mogły wyciec. To nie paranoja - to statystyka.

Konkretne kroki, które warto wykonać:

Sprawdź transakcje na karcie podpiętej do konta Booking.com za ostatnie 30 dni. Nawet małe, nieznane obciążenia (1-5 zł) to typowy test oszustów przed większą transakcją.
Włącz alerty SMS w banku dla każdej transakcji kartą, nawet tych poniżej 50 zł.
Zmień hasło do Booking.com na unikalne - i od razu włącz weryfikację dwuetapową (platforma oferuje ją od 2023 roku, ale domyślnie jest wyłączona).
Nie klikaj linków w SMS-ach ani e-mailach dotyczących rezerwacji. Jeśli masz wątpliwości - zaloguj się ręcznie przez przeglądarkę lub aplikację.
Zgłoś próbę phishingu do CERT Polska - numer 8080 działa 24/7 do przesyłania podejrzanych SMS-ów.

„Obserwujemy systematyczny wzrost incydentów wykorzystujących dane z wycieków platform rezerwacyjnych. Najbardziej narażeni są użytkownicy, którzy dokonali rezerwacji w ostatnich tygodniach, bo ich dane są dla oszustów najświeższe i najbardziej wiarygodne." - komunikat CERT Polska, kwiecień 2026 (cert.pl)

Dlaczego Booking.com wciąż ma problem

Tu mam zdanie niepopularne, ale trzeba je powiedzieć: model współpracy Booking z partnerami jest strukturalnie podatny na tego typu ataki. Platforma pozwala hotelom komunikować się z klientami przez własny system wiadomości, który wygląda jak oficjalna komunikacja Booking - i to właśnie ten kanał jest nadużywany.

Każdy zainfekowany panel jednego hotelu w Zakopanem może generować wiadomości wyglądające jak oficjalny Booking.com do tysięcy klientów w całej Europie. To nie jest problem techniczny - to problem architektoniczny.

Wskazówka:

Jeśli płacisz za hotel przez Booking.com, używaj wirtualnej karty jednorazowej (oferują je Revolut, mBank, Millennium, ING). Oszust nawet z pełnymi danymi karty nic nie zrobi, bo karta wygasa po jednej transakcji.

Odpowiedzialność prawna i co dalej

W UE wyciek danych osobowych wymusza zgłoszenie do organu nadzorczego w ciągu 72 godzin - tak mówi RODO. Jeśli Booking.com potwierdzi, że zawiódł w zabezpieczeniach, polski UODO może nałożyć karę administracyjną, a poszkodowani mogą dochodzić odszkodowań cywilnych.

W praktyce? Historia pokazuje, że platforma konsekwentnie twierdzi, iż odpowiedzialność spoczywa na partnerach (hotelach). I formalnie - ma rację. Ale to marne pocieszenie dla osoby, której z karty zniknęło 3 000 zł, bo recepcjonistka w Krakowie kliknęła w zainfekowany PDF.

Zastanawiasz się, czy warto w ogóle rezerwować przez Booking? Odpowiedź nie jest prosta - alternatywy (Airbnb, bezpośrednio u hotelarza) mają własne problemy z bezpieczeństwem. Najlepsza obrona to wirtualna karta i sceptycyzm wobec każdej wiadomości z prośbą o „potwierdzenie danych płatniczych”.

Oblicz swoją ratę

Kwota kredytu

zł

Okres

lat

Oprocentowanie

Twoja rata

2701 zł

Łączny koszt odsetek: 410 249 zł

Oblicz ratę kredytu hipotecznego

Komentarze

Brak komentarzy. Bądź pierwszy!

AutorRedakcja finwire.pl

Zespół redakcyjny finwire.pl - śledzimy rynki finansowe, kredyty, makroekonomię i geopolitykę. Piszemy o tym, co naprawdę wpływa na Twoje pieniądze.