Booking.com wurde angeblich von einem US-Geheimdienst gehackt, aber seinen Kunden nie davon erzählt

Last updated 20. Juni 2023

Wie aus einem am Donnerstag veröffentlichten Buch hervorgeht, wurden die Server von Booking.com verletzt und Daten von Benutzern aus dem Nahen Osten wurden bereits 2016 von einem Hacker der US-Geheimdienstbehörde gestohlen. Das Buch enthüllte weiter, dass der Vorfall von dem berüchtigten Online-Reiseunternehmen geheim gehalten wurde.

AIVD, ein niederländischer Geheimdienst, wurde von Booking.com kontaktiert, um den Verstoß zu untersuchen, und kam später zu diesem Schluss. Die Organisation benachrichtigte jedoch nicht die niederländische Datenschutzbehörde und die Opfer, wie der Rechtsbeistand ihr geraten hatte. Da außerdem keine finanziellen oder sensiblen Daten erfasst wurden, war Booking.com gesetzlich nicht verpflichtet, dies zu melden.

Laut De Machine: In de ban van Booking.com (englische Übersetzung: Die Maschine: Im Bann von Booking.com) erzählten die IT-Experten von Booking.com jedoch eine ganz andere Geschichte. Es wurde von drei Journalisten der niederländischen Nationalzeitung NRC und den Buchautoren berichtet, dass die Verletzung „PIN-Leck“ genannt wurde, da der Hack PINs betraf, die aus verschiedenen Reservierungen gestohlen wurden.

In dem Buch heißt es weiter, dass Tausende von Hotelreservierungen in den Ländern des Nahen Ostens, darunter Katar, Saudi-Arabien und die Vereinigten Arabischen Emirate, von dem Hacker erhalten wurden. Die erfassten Informationen umfassten den Namen und die Reisepläne der Booking.com-Kunden.

Zwei Monate nach dem Einbruch wurde die Sicherheitsabteilung von Booking.com von Privatdetektiven der USA unterstützt, die entdeckten, dass es sich um einen amerikanischen Hacker handelte, der in einer Organisation arbeitete, die Aufträge der US-Geheimdienste ausführte.

Darüber hinaus brachte NRC Handelsblad diesen Vorfall mit der Überwachung von Interessenten, einschließlich ausländischer Diplomaten, durch die Vereinigten Staaten in Verbindung. Der Verstoß ereignete sich, als der mutmaßliche Hacker (der Berichten zufolge Andrews hieß) und seine Gefährten auf einen erfolglos gesicherten Server stießen, der ihnen den Zugriff auf die PINs ermöglichte, bei denen es sich auch um eindeutige Kundenkonto-Identifikationscodes handelt.

Mit diesen PINs waren die Hacker in der Lage, Kopien von Reservierungsdetails der Nahost-Angehörigen zu stehlen, die sie erstellt hatten.

Anfang dieses Jahres wurde Booking.com von den niederländischen Datenschutzbehörden mit 475.000 € belastet, nachdem Kriminelle die sensiblen Daten von 4.100 Personen gestohlen und illegal darauf zugegriffen hatten. In diesem Fall wurden die Mitarbeiter der Hotels in den Vereinigten Arabischen Emiraten durch soziale Manipulation aus ihren Konto-Anmeldedaten extrahiert.

Die Hotels im Nahen Osten waren in diesem Jahr nicht die einzigen Opfer. Zuvor meldete eine führende thailändische Hotelgruppe, Centara Hotels and Resorts , eine Datenschutzverletzung. Aus diesem Grund müssen Hotels strenge Sicherheitsmaßnahmen ergreifen, um massenhafte Datenschutzverletzungen zu verhindern, da der Zugriff auf sensible Informationen sehr verbreitet ist.