Wyciek danych w Basic-Fit i Booking.com: Dane miliona osób w rękach hakerów

Europejska sieć siłowni Basic-Fit ujawniła 13 kwietnia 2026 roku, że naruszenie danych z 8 kwietnia doprowadziło do wycieku informacji osobistych i bankowych około miliona członków w Europie. Wśród poszkodowanych jest około 200 000 osób z Holandii oraz od 150 000 do 200 000 osób z Belgii. Skradzione dane obejmują nazwiska, adresy zamieszkania, adresy e-mail, numery telefonów, daty urodzenia, numery rachunków bankowych oraz szczegółowe informacje o członkostwie. Choć atak wykryto i zablokowano w ciągu kilku minut, część danych została pobrana przed odcięciem dostępu. Tego samego dnia platforma turystyczna Booking.com oddzielnie poinformowała o możliwości uzyskania przez nieuprawnione osoby trzecie wglądu w dane kontaktowe i szczegóły rezerwacji części użytkowników.

Numery kont i rejestry wejść wśród skradzionych informacji Zakres naruszonych danych w Basic-Fit wykraczał poza podstawowe dane kontaktowe. Według firmy, wyciek objął również typ subskrypcji, stan płatności, numer karty członkowskiej, wewnętrzne identyfikatory oraz rejestry wizyt z ostatniego tygodnia, w tym nazwy konkretnych klubów i godziny treningów. Pobrano także informacje o rodzaju urządzenia mobilnego używanego do autoryzacji wejść, np. markę telefonu. Basic-Fit zapewnia, że hasła oraz dokumenty tożsamości nie zostały przejęte, ponieważ firma nie przechowuje kopii dowodów osobistych członków. Spółka podała, że nie stwierdzono dotychczas przypadków nadużyć ani upublicznienia danych, a zewnętrzni specjaliści monitorują sieć pod kątem pojawienia się skradzionych informacji.

Zgłoszenie do organu nadzorczego w wymaganym terminie Basic-Fit potwierdziło, że poinformowało o incydencie Holenderski Urząd Ochrony Danych w ciągu ustawowych 72 godzin. Wyciek dotyczy członków z sześciu krajów: Holandii, Belgii, Francji, Hiszpanii, Luksemburga i Niemiec. Przy ponad 2150 siłowniach i około pięciu milionach członków oznacza to, że incydent dotknął jedną na pięć osób korzystających z usług sieci. Firma przekazała klientom, że nie muszą podejmować natychmiastowych działań, ale zaleciła czujność wobec podejrzanej komunikacji. Hiszpańskie stowarzyszenie konsumentów Consumur doradziło monitorowanie kont bankowych pod kątem nieautoryzowanych transakcji.

Booking.com ostrzega przed phishingiem po incydencie bezpieczeństwa Booking.com powiadomiło klientów drogą mailową, że osoby nieuprawnione mogły uzyskać dostęp do ich danych kontaktowych oraz szczegółów rezerwacji, takich jak nazwiska, adresy fizyczne i e-mail oraz numery telefonów. Według firmy w niektórych przypadkach mogło dojść do wglądu w dane udostępnione obiektom noclegowym. Rzecznik Booking.com potwierdził, że hakerzy nie mieli dostępu do danych finansowych. Profilaktycznie zmieniono kody dostępu poszkodowanych osób i zapewniono, że problem został rozwiązany. Platforma nie ujawniła liczby ofiar ani dokładnego czasu trwania ataku. Ostrzeżono jednak przed próbami podszywania się pod Booking.com lub hotele i przypomniano, że serwis nigdy nie prosi o dane kart płatniczych przez telefon, e-mail czy komunikatory. O zdarzeniu poinformowano odpowiednie urzędy ochrony danych.

Unijne rozporządzenie RODO nakłada na podmioty działające w UE obowiązek informowania organów nadzorczych o naruszeniach w ciągu 72 godzin. Ataki typu phishing, polegające na podszywaniu się pod zaufane instytucje, są częstym skutkiem wycieków. Posiadanie takich informacji jak numery IBAN, daty urodzenia czy historia aktywności pozwala przestępcom tworzyć bardzo wiarygodne, fałszywe komunikaty.

Obie firmy zaapelowały o ostrożność. Basic-Fit przypomniało, by nigdy nie podawać haseł w odpowiedzi na kontakt z zewnątrz, wskazując na ryzyko kampanii phishingowych. Booking.com podkreśliło, że nie prosi o przelewy poza standardowymi metodami płatności. Hiszpański Instytut Cyberbezpieczeństwa udostępnił obywatelom bezpłatną infolinię pod numerem 017. Do 13 kwietnia 2026 roku tożsamość sprawców obu ataków pozostała nieznana.