A BWH Hotels, empresa-mãe por trás da Best Western Hotels & Resorts, WorldHotels e SureStay Hotels, revelou uma violação de dados após hackers terem acesso a sistemas de reserva de hóspedes por mais de seis meses.
De acordo com avisos enviados aos clientes afetados, a empresa descobriu uma atividade não autorizada em 22 de abril de 2026, envolvendo um aplicativo web usado para armazenar informações de reservas de hotéis. Investigadores determinaram posteriormente que os atacantes tiveram acesso ao sistema entre 14 de outubro de 2025 e 22 de abril de 2026.
As informações comprometidas incluem nomes de hóspedes, endereços de e-mail, números de telefone, endereços residenciais, números de reserva, datas de estadia e pedidos especiais associados a reservas de hotéis. A BWH Hotels informou que as informações de cartões de pagamento e bancárias não foram afetadas porque os dados financeiros não foram armazenados no aplicativo afetado.
A empresa não divulgou quantos convidados foram afetados pela violação. No entanto, a BWH Hotels opera mais de 4.000 hotéis em todo o mundo em várias marcas, incluindo Best Western, WorldHotels e Sure Hotels.
A BWH Hotels informou que atacantes exploraram uma vulnerabilidade em um de seus aplicativos web para obter acesso não autorizado aos dados de reservas. Após descobrir a invasão, a empresa retirou o aplicativo afetado, revogou o acesso não autorizado e iniciou uma investigação com a ajuda de especialistas externos em cibersegurança.
Nas notificações aos clientes, a empresa alertou os hóspedes para terem cautela com e-mails de phishing, mensagens de texto suspeitas, páginas de reservas falsas e ligações telefônicas fraudulentas referentes a reservas de hotéis. A BWH orientou especificamente os clientes a não responderem a pedidos inesperados de pagamentos, credenciais de login, códigos de verificação ou informações pessoais.
A violação levanta preocupações porque informações expostas sobre reservas podem ser altamente valiosas para golpistas. Cibercriminosos podem usar detalhes legítimos de reservas, nomes de hotéis, datas de viagem e informações de contato para criar campanhas de phishing convincentes direcionadas a viajantes, com pedidos de pagamento falsos ou atualizações fraudulentas de reservas.
A BWH Hotels também alertou que atacantes podem tentar se passar por funcionários do hotel ou representantes de suporte ao cliente usando dados roubados de reservas para fazer os golpes parecerem legítimos. A empresa recomendava que os clientes acessassem diretamente os sites oficiais dos hotéis em vez de clicar em links em e-mails ou mensagens.
A indústria de hospitalidade tornou-se um alvo frequente de ciberataques porque os sistemas hoteleiros armazenam grandes quantidades de informações pessoais ligadas a reservas, planos de viagem, contas de fidelidade e atividades de pagamento. Sistemas de reservas são particularmente atraentes para atacantes porque frequentemente contêm dados detalhados de contato com clientes que podem ser usados posteriormente em operações de phishing.