Nieuws

Bastion Hotels lekt persoonlijke gegevens van zesduizend gasten

donderdag 12 maart 2026, 15:22 door Redactie, 14 reacties

Hotelketen Bastion Hotels heeft de persoonlijke gegevens van zesduizend klanten gelekt, die vervolgens door criminelen lijken te zijn gebruikt. Het gaat om namen, telefoonnummers, adresgegevens, nationaliteiten, boekingsdata en de laatste vier cijfers en vervaldatum van de creditcard. Het betreft de boekinggegevens van Bastion-hotels in Almere, Amsterdam Airport, Amsterdam Amstel, Amsterdam Noord, Amsterdam Zuidwest, Amersfoort en Apeldoorn, zo meldt NU.nl.

De hotelketen meldt op de eigen website dat er afgelopen dinsdag een beveiligingsincident heeft plaatsgevonden in een deel van het reserveringssysteem. De directeur van Bastion Hotels laat aan NU.nl weten dat het datalek is ontstaan door een medewerker die op een phishingmail klikte. De medewerker dacht dat de phishinglink naar het reserveringssysteem wees, maar die wees naar een phishingsite. "We onderzoeken hoe we het systeem nog beter kunnen beveiligen."

Klanten van Bastion Hotels zijn vervolgens via sms en WhatsApp benaderd door oplichters, meldt het AD. In het bericht werden gasten van Bastion Hotels gevraagd om hun gegevens te verifieren, wat via de meegestuurde link zou kunnen. "Deze berichten zijn niet afkomstig van Bastion Hotels. Wij adviseren u dringend niet op deze berichten te reageren en niet op eventuele links te klikken", laat de hotelketen op de eigen website weten. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

FBI: download geen illegale software en wees voorzichtig met gratis vpn-apps

AP adviseert opnieuw om AI-chatbots niet te gebruiken voor stemadvies

Reacties (14)

Reageer met quote

12-03-2026, 15:35 door Anoniem

Dit is nog niet naar buiten gekomen, maar de oplichters hebben een tweede aanval uitgevoerd op gegevens van Bastion Hotels in
Barendrecht, Barneveld, Bodegraven, Breda, Brielle en Bussum.

En ze waren zelfs van plan om de gegevens van de hotels in Cadzand, Capelle, Castricum, Clinge, Coevorden en Culenborg ook nog te achterhalen.

Zo zie je maar hoe ver cybercriminelen tegenwoordig kunnen komen met phishingberichten.

Trap er niet in!

Reageer met quote

12-03-2026, 15:38 door Anoniem

Het wordt voor mij niet erg duidelijk hoe alleen het aanklikken van de link al kan leiden tot doorzenden van alle gegevens.
Werd een protocol ingeladen of heeft de medewerker daarna nog een bewuste actie uitgevoerd?

Reageer met quote

12-03-2026, 15:53 door Anoniem

Door Anoniem: Het wordt voor mij niet erg duidelijk hoe alleen het aanklikken van de link al kan leiden tot doorzenden van alle gegevens.
Werd een protocol ingeladen of heeft de medewerker daarna nog een bewuste actie uitgevoerd?

Als je inlogt op een extern reserveringsysteem maar je gaat dus nu met je inlog naar een door de hacker gemaakte website, kunnen ze daarna gewoon inloggen op de echte site en gegevens ophalen.
mfa helpt al heel erg bij dit soort phising, maar is weer onhandig bij een hotel, want steeds je 2de factor invoeren is gebruikers en klant onvriendelijk ( vind men over het algemeen)

Net wat ik voorbij zie komen aan knap nagemaakte website is ook een oproep van trap er niet in niet zinvol. Want ze zijn bijna niet van echt te onderscheiden.

Enige dat werkt is je uitgaande verkeer dichtzetten zodat je alleen naar sites kan die je kent

Reageer met quote

12-03-2026, 15:56 door Anoniem

Ga er maar vanuit dat de medewerker na het klikken op de phishing link inlogde "op het reserveringssysteem", en de aanvallers daarna (met de credentials van die medewerker) de data uit het reserveringssysteem gehaald hebben.

Je moet niet zo ingewikkeld denken van super technische zero touch bugs - gewoon phishing waar de receptie medewerker in trapte , waarna alle data waar die receptie medewerker bij kon door de aanvallers beschikbaar kwam.

Nu mag je je advies over MFA, password managers die matchen op juiste domein e.d. afdraaien .

Heel lastig om "perfect" te maken - juist de receptie/boeking medewerkers krijgen ook email binnen , en over zo'n grote keten houd je nooit geheim wat/waar het boekings systeem draait .

Ik vermoed dat zo'n boekingssysteem SaaS zal zijn , en dan is "in house" draaien lastig. Nog meer als de keten geen heel erg eigen netwerk heeft (bv omdat allerlei vestigingen franchises zijn) .

Reageer met quote

12-03-2026, 16:18 door Anoniem

Door Anoniem: Dit is nog niet naar buiten gekomen, maar de oplichters hebben een tweede aanval uitgevoerd op gegevens van Bastion Hotels in
Barendrecht, Barneveld, Bodegraven, Breda, Brielle en Bussum.

En ze waren zelfs van plan om de gegevens van de hotels in Cadzand, Capelle, Castricum, Clinge, Coevorden en Culenborg ook nog te achterhalen.

Zo zie je maar hoe ver cybercriminelen tegenwoordig kunnen komen met phishingberichten.

Trap er niet in!

Omdat veel bedrijven hun beveiliging redelijk goed op orde hebben is phishing weer helemaal in opkomst naar mijn idee.

Reageer met quote

12-03-2026, 17:07 door Anoniem

Hotels zijn bekend vanwege hun datalekken. Hoog tijd voor pittige boetes zodat ze betere maatregelen nemen.

Reageer met quote

12-03-2026, 18:26 door Anoniem

Ik ontwikkel software voor deze sector en het is schrijnend om te zien. De mentaliteit bij Bastion is al langer om voor een dubbeltje op de eerste rang te zitten. Er wordt simpelweg niet genoeg in robuuste beveiliging geïnvesteerd, want het mag niks kosten. Dat je reserveringssysteem wagenwijd openstaat omdat één medewerker op een linkje klikt, is een managementfalen. Uiteindelijk betalen de gasten hier de rekening voor.

Reageer met quote

12-03-2026, 20:59 door Anoniem

Door Anoniem: Hotels zijn bekend vanwege hun datalekken. Hoog tijd voor pittige boetes zodat ze betere maatregelen nemen.

Eerder aangepaste wetgeving, zodat ze niet al die persoons-data vastleggen.
Wat er niet is, kan niet lekken of gestolen worden.
Begin maar met die kopietjes ID verbieden.

In principe heeft een hotel als basis niet meer nodig dan een aangemaakte reserveringscode, een iban-nummer voor de betaling (of een ideal/cc-betaling) en dat is het. Al het andere is luxe en/of controledrang van de overheid voor andere doelen.
Een hotel zal het echt niet uitmaken of de bezoeker Jan Jansen, John Smith, of Pietje Puk heet. Dat maakt voor de betaling en de dienstverlening ter plekke niet uit.

En ja, dat zal mogelijk een walhalla voor criminelen zijn, maar dat zijn hotels nu ook.
Dus de keuze is: een nest voor criminelen, met of zonder een dataset die kan lekken of gestolen worden.
Die criminaliteit moet op een ander manier aangepakt worden.
De huidige opzet werkt niet meer, en geeft steeds meer nevenschade.

Reageer met quote

12-03-2026, 23:58 door growisofs

Misschien kan het helpen als politiediensten zich proactief registreren bij belangrijke online diensten met herkenbare e-mailaliassen, bijvoorbeeld prioriteit+onderneming[AT]politie.nl ?

Op die manier is meteen duidelijk waar een melding over gaat en bij welke organisatie die hoort.

Phishingmails of meldingen over datalekken kunnen dan automatisch bij de juiste afdeling terechtkomen en sneller worden opgevolgd.

Lijkt me een praktische aanvulling op de bestaande aanpak.

Reageer met quote

13-03-2026, 09:10 door Anoniem

Lachen dat nieuws over niet bestaande hotel nog niet naar buiten is gekomen...

Reageer met quote

13-03-2026, 11:37 door Anoniem

Door Anoniem:

Lachen dat nieuws over niet bestaande hotel nog niet naar buiten is gekomen...

Een niet echte "site" in zo'n soort systeem is niet zo bijzonder.

Iedereen die dit type dingen kent (of bouwt) weet dat je in zo'n systeem een (of een paar) dummy/test sites nodig hebt, en (dummy klanten ).

Zal vast zijn om nieuwe receptie medewerkers te trainen om boekingen te maken of te wijzigen, en dat wil je niet op een "live" hotel doen .
Misschien ook om evt setup changes eerst te testen op het 'dummy' hotel.

Reageer met quote

13-03-2026, 11:48 door Anoniem

Door Anoniem:
Lachen dat nieuws over niet bestaande hotel nog niet naar buiten is gekomen...

ah - en naast mijn eerste commentaar dat het typisch voor test/training is (beslist waar).

Zo iets _kan_ ook als trigger/detector van een datalek of misbruik ingericht worden.

Een dummy gast met een dedicated mail/contact kan fungeren als "trigger" wanneer data onverwacht gelekt of misbruikt worden.

Dat wordt (/werd ?) gebruikt in kaarten, telefoonboeken e.d. - een paar kleine foutjes of typo's voor copyright schending detectie .

Als privé persoon doen sommigen dat ook - kleine verschrijving in straatnaam, voornaam e.d. om te kijken of je adres gelekt wordt wanneer je dat ergens achterlaat .

Zeker mogelijk dat een dummy hotel locatie in een boekingssysteem (ook) voor dat doel nut heeft.

Reageer met quote

13-03-2026, 13:26 door Erik van Straten

Door Anoniem: Ik ontwikkel software voor deze sector en het is schrijnend om te zien. De mentaliteit bij Bastion is al langer om voor een dubbeltje op de eerste rang te zitten. Er wordt simpelweg niet genoeg in robuuste beveiliging geïnvesteerd, want het mag niks kosten. Dat je reserveringssysteem wagenwijd openstaat omdat één medewerker op een linkje klikt, is een managementfalen. Uiteindelijk betalen de gasten hier de rekening voor.

Ik vrees dat de meeste organisaties zo'n mentaliteit hebben (dank voor het delen!).

Een security-awareness draadje met veel screenshots, waarin ik laat zien hoe phishing eruit kan zien (wellicht ook handig voor klanten en medewerkers van Bastion hotels): https://todon.nl/@ErikvanStraten/116216004495882854.

Reageer met quote

13-03-2026, 15:02 door Vicktor

Het is dus wachten op Dordrecht, Delft, Deventer, Doetinchem, Dokkum, Diemen, Drachten en Driebergen etc...
;-)

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

AI Stemwijzer:

Minister: Nederlandse instanties niet bevoegd om AI-stemhulpen aan te pakken

14-03-2026 door Redactie

Op dit moment zijn er geen Nederlandse instanties bevoegd om op te treden tegen AI-stemhulpen, omdat de benodigde ...

37 reacties

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.

Lees meer

Microsoft moet in Oostenrijk stoppen met tracken van scholier, hoe zit dit in Nederland?

11-03-2026 door Arnoud Engelfriet

Juridische vraag: Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen ...

7 reacties

Lees meer

Online datalek-checkers bieden de mogelijkheid te zoeken op gelekte persoonsgegevens. Hebben zij daar wel een grondslag voor?

04-03-2026 door Arnoud Engelfriet

Juridische vraag: Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via ...

21 reacties

Lees meer

Zijn advertenties die malware bevatten de verantwoordelijkheid van de website waarop ze staan?

25-02-2026 door Arnoud Engelfriet

Juridische vraag: Ik werd laatst op mijn werk gewaarschuwd voor het risico van malware advertenties en hoe neppe advertenties ...

7 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Bastion Hotels lekt persoonlijke gegevens van zesduizend gasten

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

AI Stemwijzer:

Wachtwoord Vergeten

Password Reset

Registreren