Op de reserveringssites van twee populaire hotelketens is kwaadaardige JavaScript-code aangetroffen die door klanten ingevoerde creditcardgegevens en andere data buitmaakte. Dat meldt antivirusbedrijf Trend Micro. De namen van de twee hotelketens zijn niet bekendgemaakt.

De ene keten heeft 107 hotels in veertien landen, de andere keten beschikt over 73 hotels in ook veertien landen. De reserveringssites van de hotels zijn gemaakt door het Spaanse softwarebedrijf Roomleader. De kwaadaardige JavaScript die klantgegevens onderschepte was niet direct op de hotelsites geïnjecteerd, maar in een module van Roomleader.

Alleen wanneer de reserveringssites met een smartphone of tablet werden bezocht werd de kwaadaardige JavaScript-code geladen. Gegevens die klanten voor hun hotelreservering invulden, zoals namen, e-mailadres, telefoonnummers, voorkeur voor hotelkamer en creditcardgegevens, werden vervolgens naar de aanvallers gestuurd.

De onderzoekers ontdekten dat de JavaScript-code het originele formulier van de reserveringspagina verving door een formulier dat ook de CVC-code van de creditcard vroeg. Dit formulier was in acht talen beschikbaar, waaronder het Nederlands. Trend Micro heeft Roomleader naar eigen zeggen over de kwaadaardige code geïnformeerd.