Opvallend dat booking.com, ondanks het feit dat de boekingen via hun platform waren gemaakt, de getroffen klanten niet informeerde over het datalek.
Hotel La Merveilleuse in Dinant is onlangs slachtoffer geworden van een grootschalige cyberaanval. Klanten die via booking.com een reservering hadden gemaakt, werden opvallend genoeg niet door het boekingsplatform op de hoogte gesteld van het datalek, wat leidde tot de verspreiding van phishing e-mails. Deze aanval resulteerde in frauduleuze betalingsverzoeken en geannuleerde boekingen, wat voor grote onrust zorgde onder de gasten van het hotel.
In een officiële e-mail aan de getroffen klanten bood Hotel La Merveilleuse zijn excuses aan voor het incident dat plaatsvond op 20 juni 2024. De cyberaanval leidde tot een reeks frauduleuze e-mails waarin klanten werden gevraagd om hun reservering en betalingsgegevens te bevestigen.
De boodschap luidde: “we willen onze excuses aanbieden voor het incident dat plaatsvond op 20 juni 2024. een cyberaanval heeft geleid tot frauduleuze betalingsverzoeken en geannuleerde boekingen. negeer en verwijder alle verdachte e-mails. Als u een frauduleuze betaling hebt gedaan, neem dan onmiddellijk contact op met uw bank en doe aangifte bij de politie. We hebben een klacht ingediend en de betrokken klanten geïnformeerd.”
Verder benadrukte het hotel dat het zijn beveiligingssystemen heeft versterkt om dergelijke incidenten in de toekomst te voorkomen. “We zullen u nooit vragen om per e-mail te betalen voor uw aankomst. Als u via booking.com boekt, kunt u alleen op hun website betalen,” aldus de verklaring. Het hotel benadrukte ook zijn bereidheid om de gasten binnenkort weer te verwelkomen, ondanks de ongemakken veroorzaakt door de aanval.
phishing e-mails
De phishing e-mails die in naam van Hotel La Merveilleuse werden verstuurd, bevatten een misleidende boodschap waarin stond: “We willen u laten weten dat het bericht over de bevestiging van de betaalmethode legitiem is en van ons afkomstig is. Dit proces is noodzakelijk vanwege het nieuwe anti-fraudebeleid. Onze excuses voor het eventuele ongemak dat dit kan veroorzaken. Aarzel niet om contact met ons op te nemen als u nog vragen heeft!”
Opvallend was dat booking.com, ondanks het feit dat de boekingen via hun platform waren gemaakt, de getroffen klanten niet informeerde over het datalek. Dit verzuim zorgde ervoor dat veel klanten hun betalingsgegevens aan de hackers prijsgaven. De vraag rijst waarom boekingsgegevens van klanten worden doorgestuurd naar potentieel onbetrouwbare systemen van derden wanneer men boekt via booking.com.
De Autoriteit Persoonsgegevens (AP) heeft eerder geconcludeerd dat booking.com zich in 2023 goed hield aan de regels rond het melden van datalekken. Echter, in 2021 legde de AP een boete van 475.000 euro op aan booking.com vanwege het te laat melden van een datalek waarbij criminelen persoonsgegevens van 4.000 klanten buitmaakten, waaronder creditcardgegevens van 300 slachtoffers. Ook na dit incident meldde booking.com mogelijk enkele datalekken niet tijdig bij de AP.
Monique Verdier, sinds 1 januari 2019 vicevoorzitter en lid van het bestuur van de AP, benadrukte de verantwoordelijkheid van grote platforms zoals booking.com om het lekken van persoonsgegevens te voorkomen: “Gebruikers geven gevoelige informatie uit handen, zoals hun creditcardgegevens. het is belangrijk dat booking.com deze gegevens goed beschermt. Toch kan een datalek helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je het datalek op tijd melden bij de AP, zodat de AP kan adviseren waar nodig.”
Deze cyberaanval en de daaropvolgende reactie van Hotel La Merveilleuse en booking.com onderstrepen het belang van strikte beveiligingsmaatregelen en tijdige communicatie bij datalekken. Klanten vertrouwen hun persoonlijke en financiële gegevens toe aan deze platforms, en het is cruciaal dat deze gegevens met de grootst mogelijke zorg worden behandeld om het risico op cybercriminaliteit te minimaliseren.
