Väidetavalt häkkis USA luureagentuur Booking.com-i, kuid see ei öelnud kunagi oma klientidele

Neljapäeval avaldatud raamatu kohaselt tungiti Booking.com-i serveritesse ja USA luureagentuuri häkker varastas 2016. aastal Lähis-Ida kasutajate andmed. Lisaks selgus raamatust, et kurikuulus veebireisifirma hoidis juhtunut saladuses.

Booking.com võttis rikkumise uurimiseks ühendust Hollandi luureteenistusega AIVD, kes jõudis hiljem sellisele järeldusele. Kuid organisatsioon ei teavitanud Hollandi andmekaitseametit ega ohvreid, nagu õigusnõustaja seda soovitas. Pealegi, kuna finants- ega tundlikke andmeid ei hangitud, ei olnud Booking.com seaduslikult kohustatud teavitama.

De Machine: In de ban van Booking.com (ingliskeelne tõlge: The Machine: Under the Spell of Booking.com) andmetel rääkisid Booking.com-i IT-eksperdid aga hoopis teistsugust juttu. Kolm Hollandi riikliku ajalehe NRC ajakirjanikku ja raamatukirjutajaid teatasid, et rikkumist nimetati PIN-koodi lekkeks, kuna häkkimine hõlmas erinevatest reservatsioonidest varastatud PIN-koode.

Lisaks märgiti raamatus, et häkker sai tuhandeid hotellibroneeringuid Lähis-Ida riikides, sealhulgas Kataris, Saudi Araabias ja AÜE -s. Saadud teave sisaldas Booking.com-i klientide nime ja reisiplaane.

Kaks kuud pärast rikkumist aitasid Booking.com-i turvaosakonda USA eradetektiivid, kes avastasid, et tegemist oli Ameerika häkkeriga, kes töötas organisatsioonis, mis täitis USA luureteenistuste ülesandeid.

Lisaks seostas NRC Handelsblad seda juhtumit huvipakkuvate inimeste, sealhulgas välisdiplomaatide jälgimisega Ameerika Ühendriikide poolt. Rikkumine leidis aset siis, kui väidetav häkker (nimega Andrews) ja tema kaaslased sattusid ebaõnnestunult turvatud serverile, mis võimaldas neil pääseda juurde PIN-koodidele, mis on ühtlasi unikaalsed kliendikonto tunnuskoodid.

Nende PIN-koodide abil suutsid häkkerid varastada neid teinud Lähis-Ida elanike broneeringute üksikasjade koopiaid.

Selle aasta alguses esitasid Hollandi andmekaitseasutused Booking.com-ile 475 000 euro suuruse tasu pärast seda, kui 4100 inimese delikaatsed andmed tungisid ja kurjategijad pääsesid neile ebaseaduslikult juurde. Sel juhul olid Araabia Ühendemiraatide hotellide töötajad sotsiaalselt kujundatud nende konto sisselogimisandmetest.

Lähis-Ida hotellid pole sel aastal ainsad ohvrid. Varem teatas Tai juhtiv hotelligrupp Centara Hotels and Resorts andmetega seotud rikkumisest. Seetõttu peavad hotellid rakendama rangeid turvameetmeid, et vältida massilisi andmerikkumisi, kuna tundliku teabe hankimine on muutunud äärmiselt tavaliseks.