Selon un livre publié jeudi, les serveurs de Booking.com ont été piratés et les données des utilisateurs du Moyen-Orient ont été volées en 2016 par un pirate informatique de l’agence de renseignement américaine. Le livre a en outre révélé que l’incident avait été gardé secret par la tristement célèbre agence de voyages en ligne.
AIVD, un service de renseignement néerlandais, a été contacté par Booking.com pour enquêter sur la violation et est ensuite parvenu à cette conclusion. Cependant, l’organisation n’a pas informé l’autorité néerlandaise de protection des données et les victimes, comme l’a conseillé le conseiller juridique. De plus, étant donné qu’aucune donnée financière ou sensible n’a été acquise, Booking.com n’était pas légalement tenu de notifier.
Cependant, selon De Machine: In de ban van Booking.com (traduction anglaise: The Machine: Under the Spell of Booking.com), les experts informatiques de Booking.com ont raconté une histoire complètement différente. Il a été rapporté par trois journalistes du journal national néerlandais NRC et les auteurs du livre que la violation a été nommée "PIN-leak" car le piratage impliquait des PIN volés dans diverses réserves.
Le livre indiquait en outre que des milliers de réservations d’hôtels dans les pays du Moyen-Orient, dont le Qatar, l’Arabie saoudite et les Émirats arabes unis, avaient été obtenues par le pirate informatique. Les informations acquises comprenaient le nom et les projets de voyage des clients de Booking.com.
Deux mois après le début de la brèche, le service de sécurité de Booking.com a été aidé par les enquêteurs privés américains, qui ont découvert qu’il s’agissait d’un pirate informatique américain travaillant dans une organisation qui effectuait des missions des services de renseignement américains.
En outre, NRC Handelsblad a lié cet incident à la surveillance de personnes d’intérêt, y compris des diplomates étrangers par les États-Unis. La violation s’est produite lorsque le pirate présumé (apparemment nommé Andrews) et ses compagnons sont tombés sur un serveur sécurisé sans succès qui leur a permis d’accéder aux codes PIN, qui sont également recherchés pour être des codes d’identification de compte client uniques.
Avec ces codes PIN, les pirates ont pu voler des copies des détails de réservation des Moyen-Orientaux qui les ont créés.
Plus tôt cette année, Booking.com a été facturé 475 000 € par les autorités néerlandaises de protection des données après que les données sensibles de 4 100 personnes ont été piratées et consultées illégalement par des criminels. Dans ce cas, les employés des hôtels des Émirats arabes unis ont été socialement exclus des informations de connexion de leur compte.
Les hôtels du Moyen-Orient n’ont pas été les seules victimes cette année. Auparavant, un groupe hôtelier thaïlandais de premier plan, Centara Hotels, and Resorts, avait signalé une violation de données. C’est pourquoi les hôtels doivent prendre des mesures de sécurité strictes pour prévenir les violations massives de données, étant donné que l’acquisition d’informations sensibles est devenue extrêmement courante.