Booking.com, sistemlerinde meydana gelen bir güvenlik açığı nedeniyle veri ihlali yaşandığını resmen kabul etti. Özellikle Almanya’daki kullanıcıların etkilendiği olayda, şirket finansal verilerin güvende olduğunu savunurken, sızan bilgilerin kapsamı konusunda çelişkili ifadeler dikkat çekiyor.
İşte yaşanan gelişmenin detayları:
İhlalden Etkilenen Veriler ve Alınan Önlemler
Booking.com tarafından yapılan incelemeler sonucunda, yetkisiz kişilerin bazı rezervasyon bilgilerine ulaştığı tespit edildi. Şirket, saldırı sonrası şu adımları attığını bildirdi:
PIN Güncellemesi: Etkilenen rezervasyonların güvenlik kodları (PIN) önlem amaçlı değiştirildi.
Erişilen Bilgiler: İsim, e-posta, telefon numarası ve konaklama detayları gibi kişisel verilerin ele geçirilmiş olabileceği açıklandı.
Resmi Uyarı: Kullanıcılar, kendilerini Booking.com yetkilisi gibi tanıtan dolandırıcılara karşı (phishing/kimlik avı) uyarıldı.
Şirket İçindeki Çelişkili Açıklamalar
Veri sızıntısının boyutuyla ilgili şirket kanadında bir kafa karışıklığı yaşanıyor:
Müşterilere Gönderilen E-posta: Kullanıcıların fiziksel posta adreslerinin de sızdırılmış olabileceği belirtiliyor.
Resmi Sözcü Açıklaması: Şirket sözcüsü, posta adreslerinin güvende olduğunu savunarak sadece e-posta adreslerine erişildiğini iddia ediyor.
Güvenlik Durumu ve Kritik Uyarılar
Booking.com, ödeme bilgilerinin sızdırılmadığının altını çizerek kullanıcılarını şu konularda uyardı:
Dikkat: Şirket; WhatsApp, SMS, e-posta veya telefon yoluyla asla kredi kartı bilgisi ya da para transferi talep etmez. Bu tür taleplerin tamamı dolandırıcılık girişimidir.
Cevapsız Kalan Sorular
Siber saldırının ayrıntılarına dair Booking.com henüz şeffaf bir tablo çizmedi. Şu başlıklar belirsizliğini koruyor:
Kapsam: Almanya’da kaç kullanıcının bu durumdan etkilendiği açıklanmadı.
Kaynak: Saldırının doğrudan Booking sistemlerine mi yapıldığı, yoksa iş ortağı olan oteller üzerinden mi gerçekleştiği bilinmiyor.
Hukuki Durum: Olayın Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) kapsamında "resmi veri ihlali" sayılıp sayılmadığına dair net bir onay verilmedi; ancak ilgili kurumlarla temas halinde olunduğu belirtildi.