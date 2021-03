Criminelen maakten namen, adressen en telefoonnummers van meer dan 4.000 klanten buit, door zich tegenover hotels voor te doen als Booking-medewerkers. Van bijna driehonderd klanten werd ook de hand gelegd op creditcardgegevens, in een derde van deze gevallen inclusief beveiligingscode van de creditcard.

De datadiefstal vond plaats bij medewerkers van veertig hotels in de Verenigde Arabische Emiraten, die de inloggegevens tot hun accounts in het systeem van Booking.com telefonisch doorgaven aan de veronderstelde Booking-medewerkers. Deze criminelen kregen zo in december 2018 toegang tot de gegevens van 4.109 mensen die via Booking een hotelkamer hadden geboekt in de Emiraten.

Deze manier van fraude, waarbij cybercriminelen zich voordoen als Booking-medewerkers om bij hotels gegevens van klanten te ontfutselen, is een bekend probleem voor de hotelboeksite. In 2014 onthulde de Britse omroep BBC hoe cybercriminelen zelfs een compleet nep-callcenter hadden opgetuigd. Met gebruikmaking van gestolen data belden ze vervolgens klanten met het verzoek een aanbetaling te doen voor hun aankomende hotelovernachting. Booking strijdt al jaren tegen criminelen die met ‘phishing’-mails hotelpersoneel naar neppagina’s leiden, waar de medewerkers vervolgens hun inloggegevens invullen en cybercriminelen zo toegang geven tot klantendata.

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde dat pas 22 dagen later bij de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder op de wereldwijde privacy-aangelegenheden van de boekingssite met hoofdkantoor in Amsterdam.

Booking krijgt de boete omdat het verplicht is een datalek binnen 72 uur te melden. De getroffen klanten werden er op 4 februari 2019 van op de hoogte gebracht dat hun gegevens gestolen waren. Daarnaast nam het bedrijf andere maatregelen, zoals de klanten aanbieden hun eventuele schade te vergoeden.

Door de wereldwijde activiteiten van Booking is een datalek direct een internationale aangelegenheid. In dit geval betrof het gestolen persoonsgegevens van inwoners van 135 landen en creditcardgegevens van mensen uit vijftien landen, waarvan zes in Europa – Nederland incluis, aldus de AP. Het is de eerste keer dat de organisatie de reissite beboet.

„De klanten van Booking liepen het risico flink bestolen te worden”, licht AP-vicevoorzitter Monique Verdier toe, „ook als de criminelen geen creditcardgegevens buitmaakten, maar alleen iemands naam, contactgegevens en informatie over zijn of haar hotelboeking.”

Volgens Verdier heeft Booking „een grote verantwoordelijkheid”, gezien de waarde van de persoonsgegevens die het in zijn systemen bewaart. „Wat hier onder meer misging, is dat Booking het lek eerst zelf is gaan onderzoeken en het daarna bij ons heeft gemeld”, zegt Verdier. „Dat moet andersom: je moet het lek direct melden en dan gelijk onderzoek gaan doen.”

Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.