‘Laten we de gordijnen dichtdoen, dat vinden ze vast prettig”, zegt een van de leden van het securityteam van Booking.com. Het is maart 2016 en hij wacht met twee collega’s gespannen in een vergaderzaaltje van het Booking-kantoor op de Amsterdamse Vijzelstraat. Een vierde teamlid haalt intussen bij de balie twee mannen op van wie niemand mag weten wie het zijn.
De geheimzinnigheid heeft een reden. De securitymensen van Booking, doorgaans druk met onschadelijk maken van phishingmails en beschermen van klant- en creditcardgegevens, zijn iets vreemds op het spoor. Zo vreemd, dat ze twee experts van inlichtingendienst AIVD hebben uitgenodigd. Misschien begrijpen die meer van het wonderlijke datalek dat een specialist bij Booking een maand eerder heeft ontdekt.
De securityman heeft bij een controle van een oude server, waarmee het bedrijf nieuwe ideeën voor de website test, verdachte activiteiten opgemerkt. De server had al lang opgeschoond moeten zijn, maar dat is niet gebeurd. Nu gebruikt een onbekende hacker de server om via PIN-codes – unieke codes die horen bij specifieke reserveringen – stiekem informatie over duizenden hotelboekingen op te vragen.
Deze inbraak, bevestigd door drie leden van het toenmalige securityteam en een hooggeplaatste manager, wordt beschreven in het boek De Machine – in de ban van Booking.com dat deze donderdag verschijnt. Het schetst op basis van honderden gesprekken, e-mails en video’s de 25-jarige geschiedenis van de grootste hotelboeksite ter wereld.
Geen creditcardnummers
Booking.com heeft vaker te maken gehad met cybercriminelen die azen op de reusachtige hoeveelheid data die de hotelwebsite iedere dag verzamelt. Op de Booking-servers staan van miljoenen klanten naam, e-mailadres en telefoonnummer, wanneer ze met vakantie gaan en met welke creditcards (en codes) ze betalen.
Doorgaans is het de digitale inbrekers om geld te doen. In 2014 onthulde de BBC dat criminelen een compleet callcenter hadden opgetuigd, waar freelancers voor 12 dollar per uur Booking-klanten belden om hen op te lichten met behulp van gestolen boekinggegevens. Dit soort fraude heeft Booking twee jaar later behoorlijk onder controle. Het tast het vertrouwen van klanten aan, kost geld en dus zit het bedrijf er bovenop.
Deze keer is het anders, beseffen de medewerkers van de securityafdeling als ze de ene na de andere PIN-code in vreemde handen zien vallen
Deze keer is het anders, beseffen de medewerkers van de securityafdeling begin 2016 als ze de ene na de andere PIN-code in vreemde handen zien vallen. Deze gegevens zijn kapitalen waard op het dark web, waar een levendige handel in gestolen klantgegevens bestaat. Maar er gebeurt niets: het lijkt erop dat de inbreker bij Booking helemaal niet op zoek is geweest naar creditcardnummers. Evenmin komen klachten binnen van klanten of hotels dat gegevens zijn ontvreemd.
Als de cyberspecialisten van Booking na twee dagen het digitale lek hebben gedicht en de zaak gaan uitzoeken, trekken ze een belangrijke conclusie. Hun tegenstander is deze keer groter en moeilijker grijpbaar dan een eenvoudige hacker. Hier zou wel eens een buitenlandse mogendheid achter kunnen zitten. Spionage.
Royal Concierge
Dat veiligheidsdiensten belangstelling hebben voor Booking.com is voor de securityafdeling geen verrassing. Booking weet wie wanneer op welke plek verblijft, waar diplomaten zich bevinden, wie naar verdachte landen of regio’s reist, waar topbestuurders een uitje boeken met hun secretaresse – allemaal waardevolle informatie voor deze diensten.
Een voormalig securitywerknemer van Booking: „Je moet hierin niet naïef zijn. Natuurlijk willen Chinese spionnen alles weten van de reisbewegingen van belangrijke Oeigoeren. Het is hun werk om dat uit te zoeken.”
Hoe ver de inlichtingendiensten gaan, liet NSA-klokkenluider Edward Snowden in november 2013 aan de wereld zien. Hij onthulde toen dat de Britse veiligheidsdienst GCHQ onder de codenaam Royal Concierge hotelboekingssites gebruikte om reisbewegingen van buitenlandse diplomaten en ambtenaren in de gaten te houden. Britse geheim agenten gebruikten de gegevens om te achterhalen waar hun doelwitten naartoe reisden, om vervolgens afluisterapparatuur te plaatsen in hotelkamers of spionnen naar een hotelbar te sturen om mensen af te luisteren. In Snowdens documenten stond niet om welke boekingssites het ging, maar een toenmalige medewerker van de securityafdeling zegt dat „het gek zou zijn als Booking.com daar niet bij zou zitten”.
:strip_icc()/s3/static.nrc.nl/bvhw/files/2021/11/data78427459-78a8c1.jpg|//images.nrc.nl/_PyVUZPwn083cj0Uiwr6LtByU80=/1920x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2021/11/data78427459-78a8c1.jpg)
Illustratie Bart Nijstad
Booking is nooit eerder op spionage gestuit. Het bedrijf is er ook niet echt naar op zoek. Zolang die geen hinder oplevert, kost het geen geld. De onuitgesproken consensus onder specialisten binnen het bedrijf is: we vermoeden dat inlichtingendiensten meekijken, maar zolang we ze niet zien, maken we ons niet druk.
Maar omdat de securitymedewerkers nu toch een spion aan het werk zien, is het anders. Ze willen weten met wie ze te maken hebben en waar diegene naar op zoek is. De speurtocht wordt geleid door een uiterst wantrouwende specialist. Als enige medewerker van Booking heeft hij een niet naar hem zelf herleidbaar e-mailadres en hij geeft niemand zijn telefoonnummer.
Het onderzoek duurt twee maanden en vindt in het diepste geheim plaats. Het vierkoppige onderzoeksteam noemt de operatie ‘PIN-leak’, naar de PIN-codes van de datadiefstal. Om niet zelf slachtoffer van spionage te worden, bewaart het team de gegevens van het onderzoek uitgeprint op papier en op harddisks in een donkerblauwe kluis op hun afdeling, die alleen te openen is met een speciale sleutel.
Amerikaanse detective
In het Amsterdamse zaaltje, achter de intussen gesloten gordijnen, spreken de PIN-leak-onderzoekers met de specialisten van de AIVD. De Booking-medewerkers vertellen dat zij hebben achterhaald waar de onbekende hacker naar op zoek is: boekingen op specifieke locaties in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Ook hebben ze een lijst IP-adressen gereconstrueerd, vanwaar de indringer de Booking-site is binnengedrongen. Ze willen van de AIVD weten of die de adressen kent. Zijn het Israëliërs? Russen? Britten? De concurrentie?
De AIVD’ers reageren ietwat lauw op het verhaal over de PIN-leak, vertellen leden van het securityteam. De grote jongens in de spionagewereld kennen ze wel, zeggen de AIVD’ers, maar dit zegt hun niets. Een van hen stelt voor dat de Booking-werknemers de informatie op een harde schijf zetten, die de AIVD dan kan meenemen om te analyseren. Uit zijn tas haalt hij een diskdrive die hij even daarvoor heeft gekocht: de wikkel van MediaMarkt zit er nog omheen.
Het geeft de leden van het PIN-leak-team weinig vertrouwen dat de AIVD de zaak voor Booking gaat oplossen.
De leden van het PIN-leak-team vragen advies aan de Britse cybersecurityfirma NCC Group, moederbedrijf van het Nederlandse Fox-IT. En ze zetten een ongebruikelijke stap: Booking huurt een Amerikaans detectivebureau in met goede contacten in de Amerikaanse inlichtingenwereld. Het gaat om de Ackerman Group uit Florida, waarvoor veel Amerikaanse ex-mariniers en voormalig CIA-agenten werken. De voornaamste klanten: multinationals met veiligheidsproblemen, zoals gijzelingen, ontvoeringen en cyberaanvallen.
Het Booking-team wroet wekenlang in de data van de indringer. Al snel blijkt dat die een fout heeft gemaakt: hij heeft niet alleen vanaf kantoor rondgeneusd op de server van Booking, maar ook vanuit huis. En Booking spot de wifirouter die hij daarbij heeft gebruikt in één van zijn eigen databases. Die router hoort bij een Android-telefoon die weleens is gebruikt om een overnachting te boeken via de Booking-app.
Al snel blijkt dat de indringer een fout heeft gemaakt: hij heeft niet alleen vanaf kantoor rondgeneusd op de server van Booking, maar ook vanuit huis
Door alle gegevens te combineren, achterhaalt Booking naam, nationaliteit en locatie van de aanvaller. Hij heeft de voornaam Andrew, woont aan de Amerikaanse oostkust en werkt voor een securitybedrijf dat opdrachten uitvoert voor een van de Amerikaanse inlichtingendiensten. Soms werkt Andrew vanuit huis, soms via een datacentrum vanwaaruit allerlei Amerikaanse diensten actief zijn, weten ze bij NCC Group. Andrew logt in tijdens kantoortijden in de VS, volgens de specialisten een sterke aanwijzing dat het een ambtenaar van de geheime dienst betreft. Detectives van Ackerman bevestigen ondertussen de identiteit van Andrew aan de hand van zijn burgerservicenummer en een oud rijbewijs. Ze bellen hem ook. Hij neemt de telefoon op met een opvallend Texaans accent. Daarna hangen ze direct op.
Of Andrew op eigen initiatief inbrak in de systemen van Booking of voor zijn opdrachtgever, wordt nooit helemaal duidelijk, benadrukken bronnen in de top van Booking. Ook wordt niet helder met welk doel hij de data binnenhaalde. Maar binnen de securityafdeling weten ze het vanaf dat moment zeker: Booking is bespioneerd door een Amerikaanse inlichtingendienst.
Naar de ambassade
Zo opgewonden als de securityspecialisten zijn over hun ontdekking, zo lauw is de reactie van de Nederlandse inlichtingendienst en van het management. De AIVD neemt de bevindingen van Booking over Andrew voor kennisgeving aan, en ook de top van het boekingsbedrijf haalt er de schouders over op.
Het PIN-leak-team presenteert zijn resultaten aan het hoofd juridische zaken van Booking. De analisten stellen voor verhaal te halen op de Amerikaanse ambassade in Den Haag. Ze willen de Amerikanen met hun bevindingen over de slordige spion om de oren slaan. Hij houdt de boot af. Wat schiet het bedrijf op met zo’n confrontatie? Het lek is gedicht, PIN-leak kost Booking geen geld, een gesprek hierover met de Amerikaanse inlichtingendiensten kan alleen maar voor gedoe zorgen.
Booking houdt de datadiefstal ook stil voor de Nederlandse Autoriteit Persoonsgegevens. Geen enkele klant krijgt bericht dat de Amerikanen zijn of haar gegevens van een reis naar de Arabische wereld hebben ingezien.
:format(webp)/s3/static.nrc.nl/podcasts/wp-content/blogs.dir/131/files/2020/12/nrcregulierepodcastvandaag.png)
Dat hoeft niet volgens de wet, zegt Booking desgevraagd: de privacyregels waren in 2016 minder streng dan nu. Booking vaart daarbij op een vijftig pagina’s dik advies van advocatenkantoor Hogan Lovells, dat gevraagd is hoe het bedrijf met PIN-leak moet omgaan. Omdat geen inlog- of creditcardgegevens zijn gestolen, beoordeelt Booking het incident als ‘laag risico’ voor individuele klanten. Het lek is gedicht, de AIVD ingelicht – en Booking gaat over tot de orde van de dag.
Die redenering stuit sommige oud-securityspecialisten van Booking tegen de borst. Zij vinden dat Booking, los van de wettelijke verplichtingen, de morele plicht heeft klanten te informeren over wat er met hun data is gebeurd.
Twee hoogleraren gespecialiseerd in privacyrecht, Frederik Zuiderveen Borgesius van de Radboud Universiteit en Gerrit-Jan Zwenne van de Universiteit Leiden, zijn eveneens kritisch. „Ik zou altijd het zekere voor het onzekere nemen en melding maken bij de toezichthouder”, zegt Zwenne. „Als je het sterke vermoeden hebt dat boekingsgegevens zijn gestolen door een Amerikaanse veiligheidsdienst, kun je er niet zonder meer van uitgaan dat dit geen negatieve gevolgen heeft voor betrokkenen. Dit soort gestolen informatie kan mogelijk worden gebruikt om mensen vlieg- of inreisverboden op te leggen, of om ze af te luisteren”.
Hoe de wantrouwige securityspecialist die een belangrijke rol had bij het achterhalen van de identiteit van de spion bij Booking hiertegen aankijkt, is onbekend. Hij zegde niet veel later zijn baan op, omdat hij weigerde te werken voor een bedrijf dat, zoals Booking van plan was, Facebook at Work ging gebruiken als intranet. Dat vond hij in bed liggen met de duivel.
De man verdween in stilte en ging volledig off the grid. Nergens zijn digitale sporen van zijn bestaan meer te vinden.
Illustraties Bart Nijstad