Een datalek bij Booking.com heeft boekingen van klanten blootgelegd. “Onbevoegde derden” verkregen toegang tot deze informatie, maar het is niet bekend hoe groot het lek is of wanneer het plaatsvond. Wel hoopt het bedrijf klanten gerust te stellen door te concluderen dat het probleem inmiddels verholpen is.
Zondagavond bevestigde Booking.com het lek. In een mail aan getroffen gasten schrijft het bedrijf dat het “verdachte activiteiten” heeft opgemerkt “die van invloed zijn op een aantal reserveringen”. Onderzoekers stelden vast dat aanvallers mogelijk namen, e-mailadressen, fysieke adressen en telefoonnummers hebben ingezien. Ook boekingsdetails en informatie die klanten met hun accommodatie hebben gedeeld, kunnen zijn buitgemaakt.
Hoeveel klanten precies zijn getroffen en wanneer de aanval plaatsvond, maakt Booking.com niet bekend. Op vragen van het ANP hierover reageert het bedrijf niet.
Booking.com vaker doelwit
Het Booking.com-platform is maar wat bekend met aanvalspogingen. Soms heeft dit geleid tot datalekken. In 2018 wisten criminelen bijvoorbeeld via phishing inloggegevens van hotelmedewerkers in de Verenigde Arabische Emiraten te stelen en zo toegang te krijgen tot boekingsdata van ruim 4.000 klanten. Booking.com meldde dat lek destijds 22 dagen te laat aan de Autoriteit Persoonsgegevens, veel te laat voor de 72-uurseis uit de AVG. Dat leverde het bedrijf een boete van 475.000 euro op van de privacywaakhond.
Ook na dat incident bleef het platform een gewild doelwit. In juni 2024 meldde Booking.com dat phishing-aanvallen op reizigers met 900 procent waren gestegen, mede door het gebruik van AI door cybercriminelen. Criminelen wisten begin dit jaar daarnaast toegang te krijgen tot hotelaccounts en stuurden via de berichtenfunctie van het platform frauduleuze betalingsverzoeken aan gasten. Doordat de berichten afkomstig leken van echte hotelaccounts, waren ze moeilijk als nep te herkennen.
Details blijven onduidelijk
Bij het huidige incident geeft Booking.com aan dat de betrokken gasten zijn geïnformeerd en dat het probleem onder controle is. Het bedrijf geeft geen toelichting op de precieze oorzaak van het lek of welke systemen waren betrokken. Ook de vraag hoeveel mensen zijn geraakt, blijft onbeantwoord.
Het is wat dat betreft een allerminst behulpzame opstelling; sommige bedrijven delen een postmortem na een technische compromis. Dat is deels om andere organisaties te waarschuwen, maar ook laat het zien waar de securitymaatregelen van een dergelijk platform verbeterd worden. Vooralsnog blijft dit uit bij Booking.com.
Lees ook: Mazda onderzoekt datalek na kwetsbaarheid in intern IT-systeem