Booking.com priznaje pristup podacima o rezervacijama i ponovno otvara pitanje sigurnosti putničkih servisa

Booking.com je potvrdio da su napadači možda pristupili određenim podacima korisnika, uključujući imena, e-mail adrese, telefonske brojeve i detalje rezervacija, što je odmah uzdrmalo povjerenje u jedan od najkorištenijih digitalnih kanala u turizmu. Posebno je osjetljivo to što je riječ o podacima koji napadačima mogu poslužiti ne samo za krađu identiteta, nego i za vrlo uvjerljive phishing kampanje u kojima se korisniku javlja navodni hotel ili platforma s točnim informacijama o njegovu putovanju.

Booking.com je, prema medijskim izvještajima, reagirao resetiranjem PIN-ova za zahvaćene rezervacije i slanjem obavijesti korisnicima. No stvarna šteta u ovakvim slučajevima ne mjeri se samo opsegom kompromitiranih zapisa, nego i brzinom kojom ukradeni podaci mogu biti pretvoreni u sekundarne napade. U turizmu je to posebno opasno jer se odluke donose brzo, putnici su često u pokretu, a komunikacija između platforme, objekta i gosta ionako je fragmentirana.

Za europske i posebno turistički ovisne ekonomije, među kojima je i Hrvatska, ovakvi incidenti imaju širi poslovni učinak. Online rezervacijske platforme postale su ključni prodajni i komunikacijski kanal za ogroman broj hotela, apartmana i drugih smještajnih pružatelja. Kada povjerenje u taj kanal oslabi, trošak se prelijeva na cijeli lanac: od korisničke podrške i reputacijske štete do dodatnih sigurnosnih zahtjeva za partnere i objekte.

Sigurnosna slika pritom sve jasnije pokazuje da se najveći rizici više ne pojavljuju samo u spektakularnim napadima, nego u svakodnevnim točkama trenja: dodacima, ažuriranjima, PDF dokumentima, mobilnim aplikacijama, rezervacijskim sustavima i cloud konfiguracijama. Upravo zato vijesti koje na prvi pogled djeluju operativno često nose šire implikacije za povjerenje korisnika, odgovornost proizvođača i trošak obrane.

Ovo je i dobar primjer kako se kibernetički rizik u digitalnoj ekonomiji sve rjeđe zadržava unutar granica jedne tvrtke. Platforma može biti izravna meta, ali stvarna izloženost proširuje se na sve male i srednje poslovne korisnike koji na njoj ovise. Upravo zato sigurnost platforme postaje i tržišno pitanje za cijeli ekosustav, a ne samo za centralnog igrača.

Napadači i dalje koriste stari obrazac: kompromitiraju ono što korisnici doživljavaju legitimnim i rutinskim, a obrana kasni jer se oslanja na povjerenje u kanal distribucije, dobavljača ili platformu. U takvom okruženju više nije dovoljno govoriti o zakrpama i upozorenjima, nego o tome koliko su procesi provjere, upravljanja identitetima i nadzora dobavnog lanca doista sazreli.

Za europske kompanije ovo ima dodatnu težinu jer se pritisak regulatornog usklađivanja više ne može odvojiti od operativne sigurnosti. NIS2, DORA i srodni okviri ne traže samo formalnu usklađenost, nego i mjerljivu sposobnost brzog otkrivanja, izolacije i prijave incidenata. U Hrvatskoj se to posebno osjeća kod sektora koji ovise o vanjskim platformama, SaaS alatima i velikom broju integracija.

Zbog toga se i pojedinačni incidenti sve češće promatraju kao indikator dubljeg problema: koliko je digitalni lanac povjerenja doista kontroliran i gdje se nalaze njegove najslabije karike kada tržište ubrzava u smjeru autonomnog softvera i AI automatizacije.

Sigurnosna pouka iz ovakvih događaja uvijek je ista, ali je tržište i dalje presporo usvaja: povjerenje se više ne smije temeljiti na dojmu legitimnosti. Potrebni su dodatni slojevi provjere, od neovisnog nadzora nad ažuriranjima i aplikacijama do finijeg upravljanja privilegijama i jasnih procedura za brzu reakciju kada se pojavi sumnja na kompromitaciju.

To je posebno važno u trenutku kada AI dodatno spušta trošak i vrijeme izrade uvjerljivih mamaca, lažnih sučelja i automatiziranih kampanja. Kombinacija starog socijalnog inženjeringa i novog generativnog ubrzanja stvara okruženje u kojem će mnoge organizacije prvi pravi stres-test doživjeti tek kada shvate koliko su im osnovni sigurnosni procesi spori.

Tržište zato postupno odmiče od pitanja koji je alat najbolji i vraća se jednostavnijem, ali bolnijem pitanju: koliko su procesi doista provedeni u praksi. U tom sudaru između tehnologije i operativne discipline najčešće nastaje razlika između incidenta koji ostane ograničen i onoga koji preraste u reputacijsku i poslovnu krizu.

Upravama i investitorima pritom je sve manje važno koliko je neka priča atraktivna u medijima, a sve više koliko je obrambena pred realnim tržišnim pritiscima. To znači jasniju disciplinu troška, razumljiv put do prihoda, stabilniji upravljački okvir i uvjerljivo objašnjenje zašto baš ta tvrtka ili taj potez ima dugoročnu prednost.

Takvo okruženje pogoduje onima koji mogu spojiti kapital i operativnu izvedbu, ali istodobno izbacuje iz ravnoteže kompanije koje su se oslanjale samo na hype. U 2026. tržište više ne nagrađuje jednako lako samu prisutnost u AI priči; traži dokaz da se iza te priče može graditi održiv posao.

Za europski ICT sektor to je dodatno važno jer se velik dio tržišta još pokušava izboriti za vlastito mjesto između američkih platformi, lokalnih regulatornih zahtjeva i potreba industrijskih kupaca koji traže mjerljivu vrijednost, a ne još jednu skupu demonstraciju tehnologije.