Booking.com bevestigde dat hackers ongeautoriseerde toegang hebben verkregen tot klantreserveringsgegevens bij een cybersecurity-incident. Hierbij werden persoonlijke gegevens zoals namen, e-mailadressen, telefoonnummers en boekingdetails blootgesteld.
Het in Amsterdam gevestigde reisplatform begon zondagavond gebruikers die bij bepaalde reserveringen betrokken waren, te informeren over verdachte activiteiten. Het bedrijf deelde niet mee hoeveel klanten zijn getroffen of wanneer het lek precies heeft plaatsgevonden.
Onlangs merkten we verdachte activiteiten op die een aantal reserveringen raakten en hebben direct actie ondernomen om het probleem in te dammen. De veiligheid van uw persoonlijke gegevens is onze hoogste prioriteit.
Booking.com — E-mail aan getroffen klanten
De blootgestelde informatie kan onder meer boekingdetails, namen, e-mailadressen, thuisadressen, telefoonnummers en eventuele notities die gasten rechtstreeks met accommodaties hebben gedeeld, omvatten. Het bedrijf benadrukte dat financiële informatie en creditcardgegevens tijdens het incident niet zijn benaderd.
Booking.com heeft PIN-nummers voor alle getroffen reserveringen gereset en stelt dat de situatie nu onder controle is. Het platform verbindt miljoenen reizigers met meer dan 30 miljoen accommodatieaanbieders wereldwijd via zijn reserveringssysteem.
The Guardian beschrijft dit als onderdeel van een zorgwekkend patroon van cybersecurity-falen bij Booking.com, met nadruk op de geschiedenis van inbreuken en boetes van het bedrijf. Hun berichtgeving belicht het bredere industrieprobleem van nep-aanbiedingen en oplichting, en positioneert dit incident binnen systemische zwaktes in platformbeveiliging in plaats van als een geïsoleerd voorval.
DutchNews biedt een heldere rapportage die het lek plaatst binnen het recente cybersecurity-landschap van Nederland, met verwijzing naar het grote datalek bij telecomaanbieder Odido. Hun berichtgeving benadrukt het hoofdkantoor van het bedrijf in Amsterdam en de regelgevende omgeving, en behandelt dit als een significant maar beheersbaar incident dat transparantie en juiste meldingsprocedures vereist.
Dit is het laatste in een reeks cybersecurity-uitdagingen voor de reisgigant, die eerder al te maken kreeg met online oplichting gericht op zijn platform. Fraudeurs gebruiken steeds vaker phishing-tactieken om betalingsgegevens te verkrijgen voor reisverificatie, waarna ze ongemachtigde bedragen in rekening brengen.
In 2018 gebruikten criminelen vergelijkbare phishingmethoden om inloggegevens van hotelmedewerkers in de Verenigde Arabische Emiraten te stelen, waardoor ze toegang kregen tot boekinggegevens van meer dan 4.000 platformgebruikers. Dat incident leidde tot een boete van €475.000 nadat Booking.com het lek 22 dagen te laat had gemeld aan de Nederlandse privacytoezichthouder.
Het lek doet zich voor te midden van bredere industriële kritiek op nep-aanbiedingen die zich verspreiden op boekingswebsites. Booking.com maakt deel uit van Booking Holdings, het Amerikaanse bedrijf ter waarde van $137 miljard dat ook OpenTable, Agoda en Kayak bezit en wereldwijd meer dan 24.000 mensen in dienst heeft.
Het bedrijf heeft geen technische details vrijgegeven over hoe het lek heeft kunnen plaatsvinden of of het verband houdt met lopende phishingcampagnes gericht op hotels die gebruikmaken van het platform. Alle getroffen klanten zijn volgens bedrijfsvertegenwoordigers rechtstreeks benaderd.