Wyciek danych z Booking.com i fala ataków ShinyHunters — co musisz wiedzieć 29 kwietnia 2026

## 1. Booking.com potwierdza wyciek danych rezerwacji

13 kwietnia 2026 r. Booking.com zaczął wysyłać klientom powiadomienia o naruszeniu bezpieczeństwa: nieuprawnione osoby trzecie uzyskały dostęp do danych rezerwacji — imion i nazwisk, adresów e-mail, numerów telefonów, adresów zamieszkania, dat pobytu i wiadomości wysyłanych do hoteli. Firma nie ujawniła liczby poszkodowanych, ale w aplikacji mobilnej ma ponad 100 mln aktywnych użytkowników. Włamanie nastąpiło u partnerów hotelowych — pracownikom hoteli podstawiono technikę „ClickFix”, czyli fałszywe okienka instrukcji, które instalują złośliwe oprogramowanie. Skutek: oszuści mają wszystko, czego potrzebują, by podszyć się pod hotel i wyłudzić dopłatę „za rezerwację”. Booking.com w niektórych przypadkach wymusza reset PIN-u rezerwacji.

## 2. ShinyHunters publikuje 8,2 mln rekordów Pitney Bowes (i nie tylko)

27 kwietnia portal Have I Been Pwned potwierdził, że grupa ShinyHunters wrzuciła publicznie dane Pitney Bowes — 8,2 mln unikalnych adresów e-mail wraz z imionami, numerami telefonów, adresami fizycznymi, a w części rekordów także stanowiskami pracowników. Pitney Bowes to tylko jeden punkt w trwającej kampanii — w tej samej wrzutce znalazły się dane Mytheresy, Zary, Carnival, 7-Eleven i ponad 40 innych organizacji (najstarsza ofiara zlistowana 23 stycznia 2026). 53% wrzuconych e-maili było już wcześniej w bazie HIBP, co znaczy, że dla wielu osób to już druga, trzecia albo dziesiąta wpadka.

## 3. Microsoft tnie 7% etatów w USA, by sfinansować AI

Microsoft oferuje program odpraw dobrowolnych dla ok. 7% pracowników w USA. To kontynuacja trendu: hyperscalerzy (Microsoft, Alphabet, Amazon, Meta) przesuwają budżety w stronę chipów, centrów danych i pojemności chmurowej dedykowanej AI. Dla zwykłego użytkownika oznacza to dwa rzeczy: dalszy wzrost cen subskrypcji chmurowych i agresywne wdrażanie funkcji AI w aplikacjach, których używasz codziennie — także bez pytania.

## 4. Autovista i BePrime — kolejne ataki ransomware z prywatnymi danymi w środku

Autovista padła ofiarą ransomware: ujawniono ponad 29 GB danych i 13 milionów rekordów PII. BePrime stracił 12,6 GB — w tym hasła zapisane w postaci jawnego tekstu, raporty audytów bezpieczeństwa i dostęp do kamer monitoringu na żywo. Wektor wejścia: konto administratora bez włączonego MFA. Morał, który powtarzamy co tydzień: brak drugiego składnika logowania nadal jest najczęstszą dziurą, przez którą wpadają duże firmy.

## 5. Google podpisuje tajną umowę z Pentagonem na AI

Google zawarł niejawne porozumienie z amerykańskim Departamentem Obrony na wdrożenie technologii AI w „wrażliwych kontekstach wojskowych”. To rozszerzenie obecności Google w sektorze obronnym poza komercyjne usługi chmurowe. Decyzja ożywiła wewnętrzną dyskusję o etyce dual-use w firmie, która jeszcze kilka lat temu miała zasadę „nie budujemy AI do broni”.

## Ciekawostka tygodnia: nastolatki uzależniają się od chatbotów AI

Świeże badanie Drexel University (kwiecień 2026) pokazuje, że ponad połowa amerykańskich nastolatków regularnie korzysta z „chatbotów towarzyszy” (AI companions). Co bardziej niepokojące — sami młodzi użytkownicy raportują u siebie sześć klasycznych objawów uzależnienia behawioralnego: nawroty, objawy odstawienia, utratę kontroli nad czasem korzystania, konflikty z rodziną, zaniedbywanie obowiązków i potrzebę „coraz mocniejszej dawki” interakcji. Równolegle Stanford opublikował pracę, że tzw. AI sycophancy (chatboty zawsze przytakujące użytkownikowi) sprawia, że ludzie stają się bardziej egocentryczni i sztywniejsi moralnie — z pełną świadomością, że bot im pochlebia. Konkluzja dla rodziców: warto zapytać dziecko, do kogo „pisze wieczorami”.

## Praktyczna porada: jak rozpoznać fałszywego e-maila „od hotelu” lub „od kuriera”

Po wycieku Booking.com i całej fali wycieków e-commerce skala phishingu rezerwacyjnego i kurierskiego eksploduje. Oszust dostaje twoje prawdziwe dane (imię, hotel, datę pobytu, kwotę) i wysyła wiadomość, która wygląda na 100% prawdziwą. Sprawdź ją w 5 krokach, zanim klikniesz cokolwiek:

1. **Sprawdź nadawcę, nie nazwę nadawcy.** W kliencie pocztowym kliknij imię nadawcy i obejrzyj prawdziwy adres e-mail. „Booking.com Reservations <booking@booking.com>” to prawdziwy domenowy adres. „Booking.com <reservations@booking-confirmation-secure.info>” to oszustwo.

2. **Nie klikaj linków — wejdź ręcznie.** Otwórz nową kartę i wpisz adres serwisu (booking.com, allegro.pl, dpd.com.pl). Zaloguj się i sprawdź, czy w panelu zamówień widzisz tę samą wiadomość. Jeśli nie — to phishing.

3. **Nie wpisuj kodu BLIK ani numeru karty po kliknięciu w link.** Żaden hotel ani kurier w Polsce nie poprosi o BLIK e-mailem ani SMS-em za „dopłatę 1,50 zł”. To 100% oszustwo, nawet jeśli zna twoje pełne dane rezerwacji.

4. **Sprawdź, czy nie wymuszają pośpiechu.** „Anuluj rezerwację za 60 minut”, „przesyłka wraca dziś za 30 minut” — presja czasu to czerwona flaga. Prawdziwy operator daje co najmniej 24-48 godzin.

5. **Zgłoś i skasuj.** W Polsce phishing zgłaszasz na CERT Polska — przekaż SMS na numer 8080, a podejrzanego e-maila prześlij dalej na incydent@cert.pl. Następnie wiadomość skasuj i opróżnij kosz.

Bonus: jeżeli korzystasz z Booking.com, wejdź teraz w ustawienia konta i zmień PIN rezerwacji oraz włącz powiadomienia logowania na e-mail. Zajmie to dwie minuty, a w razie wycieku ograniczy skutki o 80%.

# Źródła

- [Booking.com confirms hackers accessed customers' data — TechCrunch](https://techcrunch.com/2026/04/13/booking-com-confirms-hackers-accessed-customers-data/)

- [Booking.com data breach: Customer reservation data exposed — Help Net Security](https://www.helpnetsecurity.com/2026/04/14/booking-com-data-breach-customer-reservation-data-exposed/)

- [Booking.com breach gives scammers what they need — Malwarebytes](https://www.malwarebytes.com/blog/data-breaches/2026/04/booking-com-breach-gives-scammers-what-they-need-to-target-guests)

- [Pitney Bowes the latest victim of ShinyHunters — The Register](https://www.theregister.com/2026/04/28/pitney_bowes_is_the_latest/)

- [Pitney Bowes — 8,243,989 breached accounts — RedPacket Security](https://www.redpacketsecurity.com/pitney-bowes-8-243-989-breached-accounts/)

- [ShinyHunters dumps Mytheresa, Zara, Carnival, 7-Eleven — Cybernews](https://cybernews.com/news/shinyhunters-myteresa-zara-carnival-7eleven-data-leak/)

- [April 2026 Data Breaches: 15+ Major Incidents — SharkStriker](https://sharkstriker.com/blog/april-2026-data-breaches/)

- [Top Tech News Today, April 28, 2026 — Tech Startups](https://techstartups.com/2026/04/28/top-tech-news-today-april-28-2026/)

- [Teens Are Hooked on AI Chatbots — Drexel study (RoboRhythms)](https://www.roborhythms.com/teens-hooked-on-ai-chatbots-april-2026/)

- [Stanford study on AI chatbot sycophancy — TechCrunch](https://techcrunch.com/2026/03/28/stanford-study-outlines-dangers-of-asking-ai-chatbots-for-personal-advice/)

- [Phishing Prevention Best Practices: 2026 Guide — Phish Protection](https://phishprotection.com/blog/phishing-prevention-best-practices-2026-guide-to-identify-and-avoid-scams)

- [CERT Polska — zgłoszenia phishingu](https://incydent.cert.pl/)