Nieuws
image

Bastion Hotels lekt persoonlijke gegevens van zesduizend gasten

donderdag 12 maart 2026, 15:22 door Redactie, 6 reacties

Hotelketen Bastion Hotels heeft de persoonlijke gegevens van zesduizend klanten gelekt, die vervolgens door criminelen lijken te zijn gebruikt. Het gaat om namen, telefoonnummers, adresgegevens, nationaliteiten, boekingsdata en de laatste vier cijfers en vervaldatum van de creditcard. Het betreft de boekinggegevens van Bastion-hotels in Almere, Amsterdam Airport, Amsterdam Amstel, Amsterdam Noord, Amsterdam Zuidwest, Amersfoort en Apeldoorn, zo meldt NU.nl.

De hotelketen meldt op de eigen website dat er afgelopen dinsdag een beveiligingsincident heeft plaatsgevonden in een deel van het reserveringssysteem. De directeur van Bastion Hotels laat aan NU.nl weten dat het datalek is ontstaan door een medewerker die op een phishingmail klikte. De medewerker dacht dat de phishinglink naar het reserveringssysteem wees, maar die wees naar een phishingsite. "We onderzoeken hoe we het systeem nog beter kunnen beveiligen."

Klanten van Bastion Hotels zijn vervolgens via sms en WhatsApp benaderd door oplichters, meldt het AD. In het bericht werden gasten van Bastion Hotels gevraagd om hun gegevens te verifieren, wat via de meegestuurde link zou kunnen. "Deze berichten zijn niet afkomstig van Bastion Hotels. Wij adviseren u dringend niet op deze berichten te reageren en niet op eventuele links te klikken", laat de hotelketen op de eigen website weten. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

Reacties (6)
Reageer met quote
Vandaag, 15:35 door Anoniem
Dit is nog niet naar buiten gekomen, maar de oplichters hebben een tweede aanval uitgevoerd op gegevens van Bastion Hotels in
Barendrecht, Barneveld, Bodegraven, Breda, Brielle en Bussum.

En ze waren zelfs van plan om de gegevens van de hotels in Cadzand, Capelle, Castricum, Clinge, Coevorden en Culenborg ook nog te achterhalen.

Zo zie je maar hoe ver cybercriminelen tegenwoordig kunnen komen met phishingberichten.

Trap er niet in!
Reageer met quote
Vandaag, 15:38 door Anoniem
Het wordt voor mij niet erg duidelijk hoe alleen het aanklikken van de link al kan leiden tot doorzenden van alle gegevens.
Werd een protocol ingeladen of heeft de medewerker daarna nog een bewuste actie uitgevoerd?
Reageer met quote
Vandaag, 15:53 door Anoniem
Door Anoniem: Het wordt voor mij niet erg duidelijk hoe alleen het aanklikken van de link al kan leiden tot doorzenden van alle gegevens.
Werd een protocol ingeladen of heeft de medewerker daarna nog een bewuste actie uitgevoerd?

Als je inlogt op een extern reserveringsysteem maar je gaat dus nu met je inlog naar een door de hacker gemaakte website, kunnen ze daarna gewoon inloggen op de echte site en gegevens ophalen.
mfa helpt al heel erg bij dit soort phising, maar is weer onhandig bij een hotel, want steeds je 2de factor invoeren is gebruikers en klant onvriendelijk ( vind men over het algemeen)

Net wat ik voorbij zie komen aan knap nagemaakte website is ook een oproep van trap er niet in niet zinvol. Want ze zijn bijna niet van echt te onderscheiden.

Enige dat werkt is je uitgaande verkeer dichtzetten zodat je alleen naar sites kan die je kent
Reageer met quote
Vandaag, 15:56 door Anoniem
Door Anoniem: Het wordt voor mij niet erg duidelijk hoe alleen het aanklikken van de link al kan leiden tot doorzenden van alle gegevens.
Werd een protocol ingeladen of heeft de medewerker daarna nog een bewuste actie uitgevoerd?

Ga er maar vanuit dat de medewerker na het klikken op de phishing link inlogde "op het reserveringssysteem", en de aanvallers daarna (met de credentials van die medewerker) de data uit het reserveringssysteem gehaald hebben.

Je moet niet zo ingewikkeld denken van super technische zero touch bugs - gewoon phishing waar de receptie medewerker in trapte , waarna alle data waar die receptie medewerker bij kon door de aanvallers beschikbaar kwam.

Nu mag je je advies over MFA, password managers die matchen op juiste domein e.d. afdraaien .

Heel lastig om "perfect" te maken - juist de receptie/boeking medewerkers krijgen ook email binnen , en over zo'n grote keten houd je nooit geheim wat/waar het boekings systeem draait .

Ik vermoed dat zo'n boekingssysteem SaaS zal zijn , en dan is "in house" draaien lastig. Nog meer als de keten geen heel erg eigen netwerk heeft (bv omdat allerlei vestigingen franchises zijn) .
Reageer met quote
Vandaag, 16:18 door Anoniem
Door Anoniem: Dit is nog niet naar buiten gekomen, maar de oplichters hebben een tweede aanval uitgevoerd op gegevens van Bastion Hotels in
Barendrecht, Barneveld, Bodegraven, Breda, Brielle en Bussum.

En ze waren zelfs van plan om de gegevens van de hotels in Cadzand, Capelle, Castricum, Clinge, Coevorden en Culenborg ook nog te achterhalen.

Zo zie je maar hoe ver cybercriminelen tegenwoordig kunnen komen met phishingberichten.

Trap er niet in!

Omdat veel bedrijven hun beveiliging redelijk goed op orde hebben is phishing weer helemaal in opkomst naar mijn idee.
Reageer met quote
Vandaag, 17:07 door Anoniem
Hotels zijn bekend vanwege hun datalekken. Hoog tijd voor pittige boetes zodat ze betere maatregelen nemen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components