Skip to main content

Door het datalek bij Booking.com krijgen oplichters precies wat ze nodig hebben om gasten te benaderen

Reisorganisaties vertellen je maar al te graag dat je gegevens veilig zijn. Booking.com heeft iedereen er zojuist aan herinnerd waarom dat een belofte is die moeilijk na te komen is.

De in Amsterdam gevestigde boekingsgigant begon op 13 april klanten te informeren dat „onbevoegde derden“ toegang hadden gekregen tot reserveringsgegevens van gasten. De gelekte informatie omvat boekingsgegevens, namen, e-mailadressen, postadressen en telefoonnummers – in feite alles wat nodig is om zich op overtuigende wijze voor te doen als een hotel dat contact opneemt met een gast. 

De criminelen lijken toegang te hebben gekregen tot de gegevens door de hotelpartners van Booking.com te hacken. In een rapport van Microsoft wordt de phishingtechniek „ClickFix“ genoemd, waarbij slachtoffers (in dit geval hotelmedewerkers) worden verleid om malware te installeren die is vermomd als een „oplossing“ voor hun computer.

Microsoft wijt de aanval aan een criminele groep genaamd Storm-1865 en heeft ontdekt dat deze groep precies dit soort campagnes voerde tegen hotelmedewerkers in Noord-Amerika, Oceanië, Zuid- en Zuidoost-Azië en Europa, waarbij ze via valse CAPTCHA-pagina’s schadelijke malware zoals XWorm en VenomRAT verspreidden. 

In een bericht aan zijn klanten waarschuwde Booking.com dat de gelekte gegevens zouden kunnen worden gebruikt voor phishing en verklaarde het bedrijf dat het nooit om gevoelige gegevens of bankoverschrijvingen zou vragen.

Maar oplichters hebben een beproefde methode om gestolen boekingsgegevens in geld om te zetten. Ze kunnen een reservering kapen door zich voor te doen als een hotel, gasten berichten sturen waarin ze om een extra betaling vragen, of om creditcardgegevens vragen voor „betalingsverificatie“. De gestolen gegevens geven hen alles wat ze nodig hebben om de hotelgast ervan te overtuigen dat ze legitiem zijn.

De Britse instantie Action Fraud ontving tussen juni 2023 en september 2024 532 meldingen van dit soort Booking.com-oplichting, waarbij de slachtoffers in totaal 370.000 pond (ongeveer 470.000 dollar) verloren.

Dit is eerder gebeurd bij partners en klanten van Booking.com. In 2018 hebben criminelen hotelmedewerkers via phishing misleid en zo toegang gekregen tot gegevens van Booking.com-klanten.  Later dat jaar voerden oplichters ook een voice-phishingcampagne uit die gericht was op 40 hotels in de VAE. Er werden gegevens van meer dan 4.000 klanten gestolen, waaronder creditcardgegevens van 300 mensen. Booking.com meldde het datalek te laat bij de Nederlandse toezichthouder voor gegevensbescherming, die in 2021 een boete van € 475.000 (ongeveer $ 560.000) oplegde. 

Het terugkerende probleem van datalekken in de reisbranche

Dit soort datalekken komen in de reisbranche regelmatig voor. In januari 2026 maakte Eurail een datalek bekend waarbij paspoortnummers, adressen en, voor sommige reizigers, kopieën van identiteitsbewijzen en gezondheidsgegevens uitlekten. Bij KLM en Air France werden in augustus 2025 klantgegevens gestolen. Hertz, Dollar en Thrifty werden allemaal het slachtoffer van de Cl0p-bende, die misbruik maakte van de Cleo-software voor bestandsoverdracht, waarbij criminelen rijbewijzen en creditcardgegevens buitmaakten.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen