Booking.com heeft klanten gewaarschuwd voor een datalek. Onbevoegden hebben boekingsgegevens ingezien via accounts van externe partners. Het bedrijf zegt het incident te onderzoeken en heeft maatregelen genomen. Nederlandse reizigers kunnen geraakt zijn, omdat het platform hier veel wordt gebruikt.
Toegang via partneraccounts
De inbraak liep via accounts van partners die met Booking.com samenwerken, zoals accommodaties of dienstverleners. Criminelen kregen zo tijdelijk inzage in gegevens van sommige reserveringen. Het bedrijf heeft betrokken accounts geblokkeerd en laat sporenonderzoek doen. Het exacte aantal getroffen klanten is op het moment van schrijven niet bekend.
Booking.com gebruikt een zogenoemd extranet voor hotels en andere aanbieders. Via dat portaal kunnen partners reserveringen beheren en met gasten communiceren. Als zo’n partneraccount wordt misbruikt, ontstaat er een deur naar actuele boekingsdata. Dat maakt dit type incident gevoelig, ook als de centrale systemen niet direct zijn gekraakt.
Het bedrijf zegt aanvullende beveiliging te activeren bij verdachte activiteiten. Denk aan het afdwingen van extra verificatie, zoals tweestapsinlog. Ook worden wachtwoorden gereset en ongebruikelijke exports geblokkeerd. Partners krijgen instructies om hun eigen IT-omgeving te controleren op malware en phishing.
Beperkt soort klantdata
Het datalek betreft vooral informatie rondom reserveringen. Het kan gaan om naam, contactgegevens, accommodatie, boekingsnummer en in- en uitcheckdata. Dat zijn persoonsgegevens onder de AVG, omdat ze herleidbaar zijn tot een individu. Financiële schade kan volgen als deze data worden misbruikt voor oplichting.
Volledige betaalgegevens of wachtwoorden lijken niet buitgemaakt, op het moment van schrijven. Veel platforms tonen die gegevens niet volledig aan partners, juist om risico’s te beperken. Toch kunnen laatste cijfers van een kaart of betaalstatus soms zichtbaar zijn. Die brokjes informatie verhogen de geloofwaardigheid van fraudeurs.
Losse datapunten worden krachtig in combinatie met andere bronnen. Criminelen kennen dan de reisdata en het hotel, en kunnen zich makkelijk voordoen als een medewerker. Daardoor stijgt het risico op gerichte phishing. De impact is dus groter dan de ruwe dataset doet vermoeden.
Gerichte oplichting ligt op de loer
Naar verwachting proberen oplichters gasten te benaderen met overtuigende verhalen. Ze sturen bijvoorbeeld een bericht dat een betaling moet worden bevestigd, met een link naar een valse betaalsite. Omdat de details kloppen, trappen mensen sneller in zo’n verzoek. Dit fenomeen heet social engineering: misleiding met persoonlijke context.
Booking.com raadt klanten aan uitsluitend via de officiële app of website te betalen. Vermijd links in e-mail of chat die buiten het platform leiden. Controleer altijd het webadres en zoek naar het slot-icoon in de browser. Bij twijfel: neem direct contact op met de klantenservice of de accommodatie via de app.
Ook partners moeten hun processen aanscherpen. Gebruik unieke, sterke wachtwoorden en zet multifactorauthenticatie aan. Beperk het aantal medewerkers met toegang tot het extranet. En schakel exports of integraties uit die niet strikt nodig zijn, in lijn met dataminimalisatie.
Meldplicht en toezichthouders
In de Europese Unie geldt de Algemene verordening gegevensbescherming (AVG). Bedrijven moeten een ernstig datalek binnen 72 uur melden bij de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Betrokken personen moeten ook worden geïnformeerd als er waarschijnlijk risico is voor hun rechten en vrijheden.
De AVG verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de toezichthouder en betrokkenen te informeren wanneer het risico op schade reëel is.
Voor platformen met veel Europese klanten is die meldplicht praktisch altijd relevant. Het gaat om transparantie, maar ook om beperking van vervolgschade. De toezichthouder kan aanvullende maatregelen eisen. Bij structurele tekortkomingen kan een boete volgen.
Rond reisplatforms spelen vaak gedeelde verantwoordelijkheden. Booking.com is verwerkingsverantwoordelijke voor eigen diensten, maar partners zijn dat voor hun systemen. Verwerkersovereenkomsten moeten duidelijk zijn over beveiliging, logging en incidentmelding. Dat helpt sneller handelen als er iets misgaat.
Extra beveiliging voor partners
Booking.com zet extra beveiligingslagen in bij partnerlogins. Denk aan verplichten van multifactorauthenticatie en strengere sessiecontroles. Ook kan het bedrijf toegangsrechten beperken op basis van rol en locatie. Zulke maatregelen verkleinen de kans op misbruik van inloggegevens.
Daarnaast is er behoefte aan betere detectie van afwijkend gedrag. Patronen van datadownloads en nachtelijke logins vallen te automatiseren met eenvoudige regels. Die signalen kunnen een account tijdelijk bevriezen tot er handmatig is gecontroleerd. Zo wordt het tijdsvenster van een inbraak korter.
Voor Europese partners gelden extra eisen rond beveiliging en audittrail. Het bijhouden van wie welke reserveringsgegevens bekijkt, is een basisvereiste onder de AVG. Encryptie in rust en tijdens transport hoort daarbij. Transparante rapportages na incidenten herstellen vertrouwen bij reizigers en aanbieders.
