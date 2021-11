In 2016 zijn bij Booking.com details van duizenden reserveringen gestolen, zo meldt NRC op basis van een boek over het bedrijf dat vandaag verschijnt. Volgens de krant ging het om reserveringsgegevens van hotels in het Midden-Oosten en had de aanvaller nauwe banden met de Amerikaanse inlichtingendiensten. Booking.com heeft het datalek nooit aan getroffen klanten gemeld.

De hotelreserveringssite ontdekte de inbraak op de eigen systemen zelf. De aanvaller bleek vanaf een server van Booking.com door middel van pincodes, unieke codes die bij specifieke reserveringen horen, informatie over duizenden hotelboekingen op te vragen. Het ging daarbij om hotels in landen in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten.

De aanvaller kon door een fout worden achterhaald, zo meldt NRC. Hij zou vanaf zijn eigen thuislocatie hebben ingelogd op de server van de hotelreserveringssite. De router die de aanvaller hiervoor gebruikt hoort bij een Androidtelefoon waarmee weleens een overnachting via de Booking-app is gemaakt. Door alle gegevens te combineren achterhaalt Booking.com de naam, nationaliteit en locatie van de aanvaller.

Hij zou in de Verenigde Staten wonen en werkzaam zijn voor een securitybedrijf dat opdrachten uitvoert voor één van de Amerikaanse inlichtingendiensten. De inbraak wordt in 2016 opgemerkt, nog voor de inwerkingtreding van de AVG. Booking.com was dan ook niet verplicht om het datalek aan klanten te melden. In een reactie stelt het bedrijf dat er geen toegang is verkregen tot gevoelige of financiële informatie.

"De toenmalige leiding werkte volgens de principes van de AVG, die bedrijven ertoe aanzette om alleen verdere stappen te ondernemen op het gebied van melding als er daadwerkelijke negatieve effecten waren op het privéleven van individuen, waarvoor geen bewijs werd gevonden", aldus een woordvoerder van Booking.com. Begin dit jaar kreeg de hotelreserveringssite nog een boete van 475.000 euro van de Autoriteit Persoonsgegevens voor het te laat melden van een datalek in 2019.