image

Booking.com krijgt boete van 475.000 euro voor te laat melden datalek

woensdag 31 maart 2021, 12:24 door Redactie, 3 reacties
Laatst bijgewerkt: 31-03-2021, 13:18

Boekingsite Booking.com heeft van de Autoriteit Persoonsgegevens een boete van 475.000 euro gekregen voor het te laat melden van een datalek. Criminelen wisten de gegevens van ruim vierduizend klanten van het bedrijf te stelen. Dat deden ze via een telefonische phishingaanval op medewerkers van veertig hotels in de Verenigde Arabische Emiraten.

De criminelen wisten van deze medewerkers de inloggegevens te ontfutselen, waardoor ze op een systeem van Booking.com konden inloggen. In het systeem werden vervolgens de gegevens van ruim vierduizend mensen gestolen die via de boekingsite een hotelkamer hadden geboekt in het land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.

Tevens kregen de criminelen toegang tot de creditcardgegevens van 283 personen. In 97 gevallen ging het ook om de beveiligingscode van de creditcard. Ook probeerden de criminelen creditcardgegevens van andere slachtoffers te stelen door zich per mail of telefoon voor te doen als medewerker van Booking.com.

De boekingsite werd op 13 januari 2019 over het datalek geïnformeerd, maar waarschuwde de Autoriteit Persoonsgegevens pas op 7 februari. Daarmee is Booking.com 22 dagen te laat, aangezien datalekken binnen 72 uur dienen te worden gemeld. Getroffen klanten werden op 4 februari 2019 ingelicht. Booking.com gaat niet in bezwaar of beroep tegen de boete van de Autoriteit Persoonsgegevens.

Update

"Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens", laat Booking.com in een reactie aan Security.NL weten.

"We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen."

De AP wilde oorspronkelijk een boete van 525.000 euro opleggen, maar besloot die met 50.000 euro te verlagen vanwege de maatregelen die Booking.com nam om de schade voor slachtoffers te beperken.

Reacties (3)
31-03-2021, 14:47 door Anoniem
eh een kleine vraag waar ga all dat geld naar toe wat naar autoriteit pers.geg ...ga wie word er wijzer van met dat opleggen van boetes terug naar de consument ???.....ik denkt naar de directie van a/p/g....kan die weer een grooooootere boot/vliegtuig kopen..........ik heeft gesp.
31-03-2021, 15:22 door Anoniem
Die gaan in de grote staatskas. Het komt niet eens ten goede van het budget van de AP, laat staan de individuele medewerkers of de voorzitter. En dat is volkomen terecht.
31-03-2021, 19:21 door karma4
Boetes mogen niet naar de handhavende instantie gaan. De corruptie met omkoop is gangbaar in dat soort gevallen. Bekend uit dicatoriale gebieden dan wel anarchien.

Het andere is waarom de AP een sleepnet met stasi methoden wenst. Bet vermoeden van een mogelijk datalek is niet hetzelfde als het bekend zijn dat er een datalek is.
De wereld zou te klein zijn als een ieder in het verkeer zelf een mogelijke snelheidsovertreding bij de politie moet melden.
Raar dat privacy first niet acteert met protesten tegen de AP wegens disproportioneel lastig vallen van mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.