Booking.com bekrefter at uautoriserte aktører har fått tilgang til reservasjonsdata for et ukjent antall kunder. Selskapet vil ikke oppgi omfanget. Hendelsen setter søkelyset på sikkerheten i hele den digitale distribusjonskjeden for reiselivet.
Globalt databrudd hos Booking.com
Det Amsterdam‑baserte selskapet Booking.com bekrefter at uautoriserte tredjeparter har fått tilgang til reservasjonsdata gjennom det som beskrives som mistenkelig aktivitet knyttet til et antall reservasjoner. Varslene ble sendt ut på e‑post til berørte kunder i helgen, før selskapet senere bekreftet hendelsen overfor flere medier.
Ifølge e‑postene kan de eksponerte dataene omfatte bookingdetaljer, navn, e‑postadresser, hjemmeadresser, telefonnumre og informasjon som gjester har delt direkte med overnattingsstedet. Booking.com opplyser samtidig at betalings‑ og kortinformasjon ikke skal være kompromittert i dette tilfellet.
Oppdaget mistenkelig aktivitet
I varselet til kundene skriver Booking.com at selskapet nylig oppdaget mistenkelig aktivitet som påvirker et antall reservasjoner, og at de umiddelbart satte inn tiltak for å begrense hendelsen. Selskapet understreker at sikkerheten til kundenes personopplysninger er høyeste prioritet, og at de vil fortsette å styrke og utvide sikkerhetstiltakene som er på plass.
Som del av skadebegrensningen har Booking.com generert nye PIN‑koder for de berørte reservasjonene. Selskapet opplyser også at berørte gjester og partnere varsles direkte, men har så langt ikke gitt detaljer om hvor lenge de uautoriserte aktørene kan ha hatt tilgang til reservasjonene.
Uklart omfang – ingen tall på bordet
Booking.com har foreløpig ikke oppgitt hvor mange kunder eller reservasjoner som er berørt, og heller ikke hvilke markeder som er hardest rammet. Hendelsen omtales som begrenset til et antall reservasjoner, uten at det kvantifiseres hvor stor andel dette utgjør av selskapets totale volum.
Medier i flere markeder omtaler varsler til kunder nasjonalt, noe som tyder på at hendelsen har et internasjonalt nedslagsfelt. Det er samtidig uklart om det dreier seg om et teknisk hull med global rekkevidde, eller et mer avgrenset angrep mot enkelte deler av Booking‑økosystemet.
Konsekvenser for hele verdikjeden
Denne saken føyer seg inn i en rekke hendelser der svakheter i økosystemet rundt digitale bookingsystemer får direkte konsekvenser for både sluttkunden, leverandører og mellomledd i distribusjonskjeden. Når reservasjonsdata kommer på avveie, påvirker det både de reisende, som kan bli utsatt for svært troverdige svindelforsøk, og leverandørens omdømme, fordi kontakten ofte oppleves å komme fra det aktuelle hotellet, kjeden eller reiseleverandøren.
Dette gjelder ikke bare nettbaserte reisebyråer, men hele spekteret av distribusjonskanaler der data flyter mellom globale distribusjonssystemer, kjedesentraler, travel management‑selskaper, bookingsystemer og direkte kanaler. De siste årenes saker viser at risikoen i stor grad ligger i grensesnittet mellom partene, der kriminelle utnytter tilliten til etablerte plattformer, mer enn i ett isolert sikkerhetsbrudd hos én enkelt aktør.
Målrettede angrep mot leverandørleddet
Flere undersøkelser av tidligere kampanjer viser at angripere i økende grad går direkte etter hotellers og andre leverandørers administrasjonskontoer i OTA‑ og bookingsystemer. Gjennom phishing‑eposter og skadevare som stjeler legitimasjon, får de tilgang til leverandørkontoer og bruker disse til å kommunisere med gjestene som om de var hotellet selv.
Når slike kontoer først er kompromittert, kan angriperne blant annet endre betalingsinstrukser, manipulere reservasjonsdata, sende falske fakturaer eller forsøke å omdirigere utbetalinger fra mellomledd til egne konti. Analysen av kampanjen som ofte omtales som «I Paid Twice» peker på et profesjonalisert marked der tilgang til leverandørkontoer selges videre og brukes i nye angrep, ofte med Booking‑relaterte data som utgangspunkt.
Økende press på sikkerheten i hospitality‑segmentet
Saken illustrerer hvordan hospitality‑ og reiselivssegmentet har blitt et attraktivt mål for kriminelle, nettopp fordi reservasjonsdata kombinerer høy verdi med komplekse og fragmenterte tekniske flater. Cyberangrep og datalekkasjer som involverer store globale aktører blir dermed et strukturelt risikoelement for hele verdikjeden, ikke bare en kundeserviceutfordring i frontleddet.
For bransjeaktører reiser hendelser som dette spørsmål om hvordan kontrakter, ansvarsdeling og sikkerhetskrav i kanalstrategien bør oppdateres når nøkkeldata om gjester, reiser og oppgjør sirkulerer på tvers av flere plattformer og leverandører. Flere sikkerhetsmiljøer peker også på behovet for tettere dialog mellom nettbaserte reisebyråer, hoteller og travel management‑selskaper når det gjelder varsling, deling av indikatorer og felles motstandskraft mot denne typen angrep.
Kilder
Booking.com, e‑postvarsel til berørte kunder og partnere om mistenkelig aktivitet som påvirker et antall reservasjoner, gjengitt i blant annet PCMag og DutchNews.nl, 12.–13. april 2026
PCMag, Double-Check Your Travel Reservations. Booking.com Hit by Data Breach, 13. april 2026
DutchNews.nl, Booking.com warns customers after reservation data breach, 12. april 2026
SEKOIA.IO, Phishing Campaigns «I Paid Twice» Targeting Booking.com Hotels and Customers, 6. november 2025
Infosecurity Magazine, “I Paid Twice” Phishing Campaign Targets Booking.com, 5. november 2025
Malwarebytes, Booking.com reservation abused as cybercriminals steal from travelers, 5. juni 2025