Booking.com gaf 4109 gestolen gegevens te laat door en krijgt nu een flinke boete
Soms kraait er geen haan meer naar, als jij niets zegt. En waarom zou je slapende honden wakker maken? Toch was het volgens Booking.com iets anders, vertelde het bedrijf tegen de waakhond. Kwestie van te laat oppakken. Kan gebeuren, maar loopt wel in de boetepapieren.
De Nederlandse hotelboekingssite Booking.com moet een boete van 475.000 euro betalen. De Autoriteit Persoonsgegevens, de privacywaakhond van de overheid, legt die straf op omdat het bedrijf te laat meldde dat er gegevens van gebruikers waren gestolen.
Datalek Booking.com
Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.
De AP legt https://t.co/BFiiRUHsZ0 een boete op van 475.000 euro omdat het een #datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van ruim 4.000 klanten buit, waaronder creditcardgegevens van bijna 300 slachtoffers. https://t.co/mcaK95bL9r pic.twitter.com/rnB1V22dvn
— Autoriteit Persoonsgegevens (@toezicht_AP) March 31, 2021
De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.
Phishing criminelen
Die gegevens konden de criminelen gebruiken voor phishing. Ze deden zich voor als medewerkers van Booking.com en probeerden nietsvermoedende klanten op te lichten. „Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt en vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen”, legt vicevoorzitter Monique Verdier van de Autoriteit Persoonsgegevens uit.
Ontdekking datalek
Booking.com ontdekte op 13 januari 2019 dat er een datalek was geweest. Dat had het bedrijf binnen 72 uur moeten melden, maar getroffen klanten werden pas op 4 februari van dat jaar geïnformeerd. Drie dagen daarna bracht het platform de Autoriteit Persoonsgegevens op de hoogte. „Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden.”
Reactie Booking.com
Booking.com zegt in een reactie dat het datalek intern niet zo snel is opgepakt „als we hadden gewild” en dat het lek daardoor te laat is gemeld. De oplichters hebben geen toegang gekregen tot de code of de databases van het platform, benadrukt het bedrijf.