宿泊先を探すのに楽天トラベルとかじゃらんとか利用していましたが、booking.comとかトリゴバとかの方がUIが簡素で使いやすく感じて利用することがありました。
今度、広島に出張するため候補を探すために数日前にbooking.comにログインしました。でも、結局、booking.comの紹介案件は価格が高かったためいつも利用している楽天トラベルで予約しました。
で、今日、休日出勤して仕事も一段落して帰ろうとしたら。。。いきなり予約完了メールが届きました。
え?静岡?いったことないし。。。行く予定もないけど?
Gmailのアドレスで同姓同名の方が間違って予約することがあって、よく外のサービスで間違った注文完了メールとか届くことがありました。その類だと最初は思ったんです。。。でも、これってSSOでログインするのでメアドの打ち間違えでは発生しません。
どうやって予約したんだろう?と思いました。
予約は明後日26日でキャンセルは効くようでしたが、とりあえず状況を調べようとあれこれ見てみましたが、確かにSSOでサインインしたらマイページで予約が確認できました。
どういうこと?
ぐぐってみると、どうもこのbooking.comでは同類のトラブルがあるらしく、この会社はまじめに扱ってくれないらしく(N=1の情報ですが)、これは外資系だし問い合わせても無駄だなと思いました。とりあえずキャンセルが効くらしいのでキャンセルを要求したらすぐにキャンセルできました。
それまでの一連の予約の流れが以下のような感じです。Gmailの受信ボックスです。短時間にあれこれやったことがわかるかと思います。
これがどうやって予約されたのか知りたいところですが、これ以上、わけのわからない予約に振り回されるのはゴメンなのでアカウント削除しました。
一応、削除されているようですが。。。なんか怪しいサービスなので二度と近寄らないようにしたいと思います。パスワード認証じゃないのにSSOで漏れるってどういうことなんだろう?バックドアがあるんだろうか?
詳しい方、いらっしゃいましたら教えてください。僕も探してみます。世界規模の会社のようですから、たぶん、問題として上がっているのではないかと想像します。
本当、こういうの勘弁して欲しい。。。
■2022/7/25(翌日)追記
SSOで乗っ取り?と不思議に思ってモヤモヤしていました。Googleのパスワードを変えたり不要なサービスへのログイン許可を削除したりデバイスをすべてログアウトしたり。。。しました。
その後、色々調べているうちに1つわかりました。
booking.comではアカウント登録しなくても宿泊予約ができるんです。
その他、agodaという予約サービスを利用したことがありますが、こちらもアカウント作るの面倒だったのでメールアドレスをいれて予約・宿泊した記憶が蘇ってきました。
既にbooking.comからはアカウント削除しているのですが、試しにbooking.comでログインせずにホテルの予約をしてみました。
できました、いや、できると思います。最後にカード情報を入力して予約確定する前までいけました。
つまり昨夜の出来事はこうです。
静岡に出張か旅行予定の私と同姓同名でGmailのアカウント名がかなり似ている方がいて、その方が、昨夜、20:17にbooking.comで静岡のホテルクエスト静岡とかいうホテルを予約されたのだと思います。
かつ、その方はbooking.comにはアカウントがない方で、その方が上記のようにホテルを選択して、個人情報(電話、メアド、カード情報)を入力して予約を完了したのだと思います。
メアドを打ち間違えたため、当然、自分には予約確認のメールが来ないでしょう。そして、間違えられた私のアカウントに予約情報が紐ついてしまったということです。
どれもこれも推測ですが。GoogleのSSOをなりすませる知識を持った人がやったと考えるより、その間違いをしたと考える方が確率が髙いように思います。
もし、この推論が正しいとすれば。。。意図的・意図的じゃないにせよアカウント本人の了解を得ない不正な予約が発生する可能性があるということです。
こわっ。
教訓
利便性を上げるため(内部的には売上を上げるため)に予約確定をアカウント登録なしでできるようなサービスを利用してはいけない。
なんとなくスッキリしました。
私の推論に間違いがありましたらご指摘いただけると幸いです。agodaもそうだな。アカウント削除のメニューはなく、メールを送るという意図的改悪UI。メールも無視されいる様子。再度、連絡してみます。