Een hacker die nauwe banden onderhield met de Amerikaanse inlichtingendiensten heeft in maart 2016 ingebroken in de systemen van hotelwebsite Booking.com. Dat schrijft het NRC. De Amerikaanse spion heeft details van duizenden reserveringen bij hotels in landen in het Midden-Oosten ontvreemd. Getroffen klanten en de Autoriteit Persoonsgegevens werden niet op de hoogte gesteld.
Booking.com heeft vaker te maken gehad met cybercriminelen die uit zijn op de enorme hoeveelheid klantendata die de hotelwebsite dagelijks verzamelt. Op de servers van Booking staan gegevens van miljoenen klanten zoals naam, e-mailadres, telefoonnummer en informatie over creditcards. Het securityteam van de hotelwebsite houdt zich bezig met het beschermen van klant- en creditcardgegevens en het onschadelijk maken van phishingmails.
Wanneer hackers creditcardgegevens bemachtigen kunnen ze mensen veel geld afhandig maken. Ze kunnen iemands naam of contactgegevens misbruiken en nietsvermoedende slachtoffers maken door middel van phishing.
Booking.com heeft altijd het vermoeden gehad dat inlichtingendiensten interesse hadden in de klantendata van hun website. Ze hadden echter nog nooit een spion betrapt. Een securityman van Booking stuitte begin 2016 bij een controle van een oude server op verdachte activiteiten. De server was niet opgeschoond en een onbekende hacker gebruikte de server om via unieke codes, die horen bij specifieke reserveringen, stiekem informatie over duizenden hotelboekingen op te vragen.
Deze gegevens zijn veel geld waard op het dark web, waar gestolen persoonsgegevens worden verhandeld.
Deze inbraak wordt uitgebreid omschreven in een boek dat binnenkort verschijnt over de 25-jarige geschiedenis van Booking. Drie oud-medewerkers van het securityteam en een manager bevestigen de cyberspionage.
De hacker heeft niet alleen vanuit kantoor, maar ook vanuit zijn huisadres rondgekeken op de server van Booking. De wifirouter die hij gebruikte werd gevonden in één van zijn eigen databases. De router bleek bij een Android-telefoon te horen die was gebruikt om een overnachting te boeken via de Booking-app. Booking.com kon de spion dus ontmaskeren door een booking die de hacker zelf had gedaan. Het blijkt om de Amerikaanse Andrew te gaan die werkt voor een securitybedrijf dat opdrachten zou uitvoeren voor een Amerikaanse inlichtingendienst.
De Booking-medewerkers hebben ook achterhaald dat de spion op zoek was naar boekingen op specifieke locaties in het Midden-Oosten waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Het is niet duidelijk met welk doel de hacker de data binnenhaalde en of hij op eigen initiatief inbrak in de systemen van Booking.com.
Booking zou de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) om hulp hebben gevraagd bij het onderzoek naar de datadiefstal. De getroffen klanten werden echt niet geïnformeerd. Ook de Nederlandse Autoriteit Persoonsgegevens werd niet geïnformeerd over de datadiefstal.
Het melden van de datadiefstal was juridisch niet verplicht, aldus de Booking-top. Voormalig security-specialisten van Booking vinden echter dat de hotelwebsite open had moeten zijn over de datadiefstal.
In december 2018 had de hotelwebsite ook te maken met een datalek. Hackers kregen toen gegevens van meer dan 4.000 personen in handen. Ook gingen de daders aan de haal met creditcardgegevens van bijna 300 mensen. Booking.com meldde het datalek pas na drie weken aan de toezichthouder. In maart 2021 kreeg de hotelwebsite hiervoor een boete van 475.000 euro opgelegd door de Autoriteit Persoonsgegevens.
Zodra er in 2016 ongebruikelijke activiteit werd ontdekt heeft ons beveiligingsteam onmiddellijk een forensisch onderzoek ingesteld. Met behulp van externe deskundigen en binnen het kader van de Nederlandse Wet Bescherming Persoonsgegevens (de toepasselijke regelgeving voorafgaand aan AVG), is vastgesteld dat er geen toegang is geweest tot gevoelige of financiële informatie. Het toenmalige bestuur heeft gehandeld naar de principes van de Nederlandse Autoriteit Persoonsgegevens, die bedrijven adviseerde alleen verdere stappen te ondernemen omtrent het informeren van betrokkenen als er daadwerkelijk nadelige negatieve gevolgen waren voor het privéleven van personen. Daarvoor was geen bewijs gevonden.
