Reisorganisaties vertellen je maar al te graag dat je gegevens veilig zijn. Booking.com heeft iedereen er zojuist aan herinnerd waarom dat een belofte is die moeilijk na te komen is.

De in Amsterdam gevestigde boekingsgigant begon op 13 april klanten te informeren dat „onbevoegde derden“ toegang hadden gekregen tot reserveringsgegevens van gasten. De gelekte informatie omvat boekingsgegevens, namen, e-mailadressen, postadressen en telefoonnummers – in feite alles wat nodig is om zich op overtuigende wijze voor te doen als een hotel dat contact opneemt met een gast. 

De criminelen lijken toegang te hebben gekregen tot de gegevens door de hotelpartners van Booking.com te hacken. In een rapport van Microsoft wordt de phishingtechniek „ClickFix“ genoemd, waarbij slachtoffers (in dit geval hotelmedewerkers) worden verleid om malware te installeren die is vermomd als een „oplossing“ voor hun computer.

Microsoft wijt de aanval aan een criminele groep genaamd Storm-1865 en heeft ontdekt dat deze groep precies dit soort campagnes voerde tegen hotelmedewerkers in Noord-Amerika, Oceanië, Zuid- en Zuidoost-Azië en Europa, waarbij ze via valse CAPTCHA-pagina’s schadelijke malware zoals XWorm en VenomRAT verspreidden. 

In een bericht aan zijn klanten waarschuwde Booking.com dat de gelekte gegevens zouden kunnen worden gebruikt voor phishing en verklaarde het bedrijf dat het nooit om gevoelige gegevens of bankoverschrijvingen zou vragen.

Maar oplichters hebben een beproefde methode om gestolen boekingsgegevens in geld om te zetten. Ze kunnen een reservering kapen door zich voor te doen als een hotel, gasten berichten sturen waarin ze om een extra betaling vragen, of om creditcardgegevens vragen voor „betalingsverificatie“. De gestolen gegevens geven hen alles wat ze nodig hebben om de hotelgast ervan te overtuigen dat ze legitiem zijn.

De Britse instantie Action Fraud ontving tussen juni 2023 en september 2024 532 meldingen van dit soort Booking.com-oplichting, waarbij de slachtoffers in totaal 370.000 pond (ongeveer 470.000 dollar) verloren.

Dit is eerder gebeurd bij partners en klanten van Booking.com. In 2018 hebben criminelen hotelmedewerkers via phishing misleid en zo toegang gekregen tot gegevens van Booking.com-klanten.  Later dat jaar voerden oplichters ook een voice-phishingcampagne uit die gericht was op 40 hotels in de VAE. Er werden gegevens van meer dan 4.000 klanten gestolen, waaronder creditcardgegevens van 300 mensen. Booking.com meldde het datalek te laat bij de Nederlandse toezichthouder voor gegevensbescherming, die in 2021 een boete van € 475.000 (ongeveer $ 560.000) oplegde. 

Het terugkerende probleem van datalekken in de reisbranche

Dit soort datalekken komen in de reisbranche regelmatig voor. In januari 2026 maakte Eurail een datalek bekend waarbij paspoortnummers, adressen en, voor sommige reizigers, kopieën van identiteitsbewijzen en gezondheidsgegevens uitlekten. Bij KLM en Air France werden in augustus 2025 klantgegevens gestolen. Hertz, Dollar en Thrifty werden allemaal het slachtoffer van de Cl0p-bende, die misbruik maakte van de Cleo-software voor bestandsoverdracht, waarbij criminelen rijbewijzen en creditcardgegevens buitmaakten.

Deze versturen we 3-4x per jaar.