:format(webp)/s3/static.nrc.nl/bvhw/files/2021/11/data78427459-78a8c1.jpg)
Een Amerikaanse hacker heeft begin 2016 ingebroken in de systemen van hotelwebsite Booking.com en details van duizenden reserveringen bij hotels in landen in het Midden-Oosten ontvreemd. Na twee maanden onderzoek ontmaskerde een viertal specialisten van Booking de inbreker als een man die nauwe banden onderhield met de Amerikaanse inlichtingendiensten.
Booking.com vroeg de Nederlandse inlichtingendienst AIVD om hulp bij het onderzoek naar de omvangrijke datadiefstal, maar stelde getroffen klanten én de Autoriteit Persoonsgegevens (AP) niet op de hoogte. Dat was het bedrijf juridisch toen niet verplicht, oordeelde het management op advies van advocatenkantoor Hogan Lovells. De AP wil niet reageren.
Securityspecialisten van Booking.com voelden zich ongemakkelijk bij het besluit te zwijgen over het datalek, zeggen betrokkenen. Ook experts zijn kritisch. De indertijd geldende privacywet schreef voor dat een bedrijf een betrokkene op de hoogte moest stellen van een gegevensdiefstal wanneer dat „waarschijnlijk ongunstige gevolgen zou hebben voor diens persoonlijke levenssfeer”.
Vlieg- of inreisverboden
Volgens Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden, kon Booking niet ervan uitgaan dat betrokkenen geen last zouden hebben van de spionage. „Dit soort gestolen informatie kan worden gebruikt om mensen vlieg- of inreisverboden op te leggen, of om ze af te luisteren”, zegt hij. Frederik Zuiderveen Borgesius, hoogleraar ict en recht aan de Radboud Universiteit, voegt toe dat melden „chiquer” was geweest. Zuiderveen Borgesius: „Het is geen schande om te melden dat de inlichtingendiensten bij je hebben ingebroken. Die hebben zoveel goeie mensen en middelen – als die willen inbreken, lukt ze dat uiteindelijk altijd.”
:format(webp)/s3/static.nrc.nl/bvhw/files/2021/11/data78431993-b210b1.jpg)
De Amerikaanse spionage staat beschreven in het boek De Machine, dat deze donderdag verschijnt. Daarin onderzoeken drie NRC-redacteuren de opkomst, hoogtijdagen en de recente (corona)crisis bij het Amerikaans-Nederlandse Booking.com. Het bedrijf bestaat dit jaar 25 jaar en is met 28 miljoen aangesloten accommodaties de grootste hotelreserveringswebsite ter wereld.
Booking.com kwam de spionage begin 2016 bij toeval op het spoor. Een medewerker van de securityafdeling op het hoofdkantoor in Amsterdam ontdekte dat een onbekend persoon zich via een slecht beveiligde server toegang had verschaft tot de systemen van Booking. De inbreker bekeek duizenden reserveringen bij hotels in het Midden-Oosten (onder meer Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten). Het ging om de namen van klanten en hun reisplannen.
Het incident, intern ‘PIN-leak’ genoemd vanwege de gestolen pincodes van boekingen, wordt bevestigd door drie voormalig securitymedewerkers van Booking en een lid van het toenmalige management.
Detectivebureau
Met hulp van Amerikaanse privédetectives slaagde de securityafdeling van Booking.com er na twee maanden in de identiteit van de dader te achterhalen. Het ging om een Amerikaan (‘Andrew’) die werkzaam was voor een bedrijf dat opdrachten uitvoerde voor een Amerikaanse inlichtingendienst. Om welke geheime dienst het gaat – de VS hebben er achttien – is niet bekend.
Al in 2013 lekte uit dat de Amerikanen hotelwebsites bespioneren, bijvoorbeeld om de reisbewegingen van buitenlandse diplomaten te monitoren en afluisterapparatuur in hotelkamers te plaatsen. NSA-klokkenluider Edward Snowden onthulde toen dat de Britse inlichtingendienst GCHQ hiervoor een speciaal programma had opgetuigd, met de naam ‘Royal Concierge’. In de Snowden-documenten stonden geen namen van boekingssites genoemd, maar een voormalig medewerker van de securityafdeling zegt dat het „gek zou zijn als Booking.com daar niet bij zou zitten”.
De woordvoerder van Booking.com bevestigt dat er in 2016 een „ongebruikelijke activiteit” werd gedetecteerd. „Ons beveiligingsteam heeft het probleem aangepakt en is een forensisch onderzoek gestart.” Omdat er „geen bewijs” werd gevonden voor „daadwerkelijke negatieve effecten op het privéleven van individuen” heeft Booking het datalek niet gemeld, aldus de woordvoerder.
Voor zover bekend is er bij Booking.com na 2016 geen vergelijkbaar spionage-incident meer geweest. Wel slaagden ‘gewone’ cybercriminelen erin binnen te dringen op de Booking-servers. Eerder dit jaar gaf de Autoriteit Persoonsgegevens Booking.com een boete van 475.000 euro, omdat het bedrijf te laat had gemeld dat criminelen de persoons– en creditcardgegevens van 4.000 klanten hadden ontvreemd.
Hoe Booking de spion ontdekte Economie 6-7