Yhdysvaltain tiedusteluviraston väitetään hakkeroineen Booking.comin, mutta se ei koskaan kertonut asiakkailleen
Torstaina julkaistun kirjan mukaan Booking.comin palvelimille murtauduttiin, ja Yhdysvaltain tiedusteluviraston hakkeri varasti Lähi-idän käyttäjien tiedot jo vuonna 2016. Kirja paljasti lisäksi, että pahamaineinen online-matkatoimisto piti tapauksen salassa.
Booking.com otti yhteyttä hollantilaiseen tiedustelupalveluun AIVD:hen tutkiakseen rikkomusta ja päätyi myöhemmin tähän johtopäätökseen. Organisaatio ei kuitenkaan ilmoittanut Hollannin tietosuojaviranomaiselle ja uhreille, kuten lakimies neuvoi. Koska taloudellisia tai arkaluontoisia tietoja ei hankittu, Booking.comin ei myöskään lain mukaan tarvinnut ilmoittaa.
De Machine: In de ban van Booking.comin (englanniksi: The Machine: Under the Spell of Booking.com) mukaan Booking.comin IT-asiantuntijat kertoivat kuitenkin täysin toisenlaisen tarinan. Kolme hollantilaisen valtakunnallisen sanomalehden NRC:n toimittajaa ja kirjan kirjoittajat raportoivat, että tietomurto sai nimen "PIN-vuoto", koska hakkerointi koski eri varauksista varastettuja PIN-koodeja.
Kirjassa todettiin lisäksi, että hakkeri hankki tuhansia hotellivarauksia Lähi-idän maista, mukaan lukien Qatar, Saudi-Arabia ja Arabiemiirikunnat . Hankitut tiedot sisälsivät Booking.comin asiakkaiden nimet ja matkasuunnitelmat.
Kaksi kuukautta murron jälkeen Booking.comin turvallisuusosastoa auttoivat yhdysvaltalaiset yksityistutkijat, jotka havaitsivat, että kyseessä oli amerikkalainen hakkeri, joka työskenteli organisaatiossa, joka suoritti toimeksiantoja Yhdysvaltain tiedustelupalveluilta.
Lisäksi NRC Handelsblad yhdisti tämän tapauksen kiinnostuksen kohteiden, mukaan lukien ulkomaisten diplomaattien, valvontaan Yhdysvalloissa. Rikkomus tapahtui, kun väitetty hakkeri (ilmoitetun nimen Andrews) ja hänen toverinsa törmäsivät epäonnistuneesti suojattuun palvelimeen, jonka kautta he pääsivät käsiksi PIN-koodeihin, joiden on myös tarkoitus olla yksilöllisiä asiakastilin tunnistekoodeja.
Näillä PIN-koodeilla hakkerit pystyivät varastamaan kopiot niitä tehneiden Lähi-idän varaustiedoista.
Aiemmin tänä vuonna Hollannin tietosuojaviranomaiset veloittivat Booking.comilta 475 000 euroa sen jälkeen, kun 4 100 ihmisen arkaluontoiset tiedot olivat murtuneet ja rikolliset pääsivät niihin käsiksi. Siinä tapauksessa Yhdistyneiden arabiemiirikuntien hotellien työntekijät luotiin sosiaalisesti heidän tilinsä kirjautumistiedoista.
Lähi-idän hotellit eivät ole olleet ainoita uhreja tänä vuonna. Aiemmin johtava thaimaalainen hotellikonserni Centara Hotels and Resorts ilmoitti tietoturvaloukkauksesta. Tästä syystä hotellien on ryhdyttävä tiukoihin turvatoimiin massatietomurtojen estämiseksi, koska arkaluonteisten tietojen hankkimisesta on tullut erittäin yleistä.