Beheer

Security
hacker

Booking.com hield hack uit 2016 stil

Hacker keek naar duizenden boekingen in Midden-Oosten

© Shutterstock Gorodenkoff
11 november 2021

Hacker keek naar duizenden boekingen in Midden-Oosten

De systemen van Booking.com zijn in 2016 gehackt, waarbij de hacker toegang had tot duizenden reserveringen in het Midden-Oosten. Booking.com meldde de datadiefstal niet bij de getroffen klanten en de AP.

De Amerikaanse hacker kon via een slecht beveiligde server in de interne systemen van Booking.com komen waardoor hij de reserveringen bij duizenden hotels in het Midden-Oosten kon bekijken. Dat meldt NRC, dat zich hiervoor baseert op eigen bronnen. Booking.com heeft de hack inmiddels bevestigd maar hield die tot voor kort stil. Klanten en toezichthouder AP zijn al die jaren niet geïnformeerd. Daar zou het bedrijf toentertijd niet verplicht toe zijn geweest.

Booking.com ontdekte de hack in 2016 en riep vervolgens de hulp in van de AIVD. Dat leidde na twee maanden onderzoek tot de ontmaskering van de Amerikaanse hacker die nauwe banden onderhield met de Amerikaanse inlichtingendiensten.

Volgens de privacywet die toen gold moest een bedrijf een betrokkene inlichten over een datadiefstal als “waarschijnlijk ongunstige gevolgen zou hebben voor diens persoonlijke levenssfeer”.

De hack is beschreven in het boek De Machine van drie NRC-redacteuren over Booking.com, dat deze week is uitgebracht.

Reactie Booking.com

Een woordvoerder van Booking.com gaf de volgende reactie: "Zodra er in 2016 ongebruikelijke activiteit werd ontdekt heeft ons beveiligingsteam onmiddellijk een forensisch onderzoek ingesteld. Met behulp van externe deskundigen en binnen het kader van de Nederlandse Wet Bescherming Persoonsgegevens (de toepasselijke regelgeving voorafgaand aan AVG), is vastgesteld dat er geen toegang is geweest tot gevoelige of financiële informatie. Het toenmalige bestuur heeft gehandeld naar de principes van de Nederlandse Autoriteit Persoonsgegevens, die bedrijven adviseerde alleen verdere stappen te ondernemen omtrent het informeren van betrokkenen als er daadwerkelijk nadelige negatieve gevolgen waren voor het privéleven van personen. Daarvoor was geen bewijs gevonden."

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.