Ecco un articolo che descrive in modo chiaro e professionale il problema riscontrato con le carte virtuali di Booking:
Durante un controllo di sicurezza effettuato presso una struttura cliente, è emersa una preoccupante vulnerabilità legata all’utilizzo delle carte virtuali generate da Booking.com per il pagamento delle prenotazioni.
Il Problema: Accesso alle Carte Virtuali Senza 2FA
Le carte virtuali messe a disposizione da Booking nella sezione Extranet sono accessibili esclusivamente tramite l’inserimento di nome utente e password. Questo significa che, in assenza di autenticazione a due fattori (2FA), chiunque entri in possesso delle credenziali di accesso può con estrema facilità:
- Accedere all’account Booking del cliente
- Visualizzare i dati delle carte virtuali non ancora riscosse
- Utilizzare tali carte per effettuare acquisti fraudolenti
Questa mancanza rappresenta una falla di sicurezza critica, in particolare per quelle strutture che non adottano password robuste o non aggiornano periodicamente le proprie credenziali.
Rischio Elevato per le Strutture Ricettive
Un malintenzionato, in possesso delle credenziali dell’account Extranet, può accedere indisturbato e prelevare i dati delle carte virtuali ancora attive. In alcuni casi, può perfino accreditarsi gli importi relativi a prenotazioni già effettuate, con danni potenzialmente molto gravi per la struttura.
A rendere ancora più grave la situazione è il fatto che Booking non fornisce alcun log dettagliato degli accessi all’account: non è possibile conoscere da quale IP, quando, e da quale dispositivo sia avvenuto l’accesso. Questo rende impossibile per il cliente individuare accessi sospetti o non autorizzati, lasciandolo totalmente esposto.
La Mancanza di Trasparenza e di Prevenzione
Dal punto di vista di chi scrive, l’assenza di un sistema 2FA per l’accesso a uno strumento così delicato come la gestione delle carte virtuali è inaccettabile per una piattaforma della portata di Booking.com. In un’epoca in cui il furto di credenziali è all’ordine del giorno, proteggere l’accesso ai dati di pagamento dovrebbe essere una priorità assoluta.
Cosa Può Fare il Cliente
In attesa che Booking adotti misure più stringenti per la sicurezza degli account, si consiglia alle strutture:
- Di utilizzare password lunghe, complesse e univoche per l’accesso all’Extranet
- Di cambiare frequentemente le credenziali, soprattutto se sospettano attività sospette
- Di limitare l’accesso all’Extranet a poche persone fidate
- Di richiedere formalmente a Booking l’introduzione del 2FA e l’accesso ai log di accesso
Conclusione
L’attuale modalità di accesso all’Extranet di Booking.com espone le strutture ricettive a un rischio concreto di furto dei dati delle carte virtuali, con conseguenze potenzialmente disastrose. È necessario che la piattaforma prenda atto di questa vulnerabilità e implementi al più presto misure di sicurezza adeguate, a partire dall’autenticazione a due fattori e dalla tracciabilità degli accessi.
Fino ad allora, gli albergatori devono fare il possibile per limitare l’esposizione, consapevoli che la protezione dei propri dati — e di quelli dei clienti — passa anche attraverso la sicurezza digitale.