Secondo un libro pubblicato giovedì, i server di Booking.com sono stati violati e i dati degli utenti mediorientali sono stati rubati nel 2016 da un hacker dell'agenzia di intelligence statunitense. Il libro ha inoltre rivelato che l'incidente è stato tenuto segreto dalla famigerata compagnia di viaggi online.
AIVD, un servizio di intelligence olandese, è stato contattato da Booking.com per indagare sulla violazione e in seguito è giunto a questa conclusione. Tuttavia, l'organizzazione non ha informato l'autorità olandese per la protezione dei dati e le vittime, come consigliato dall'avvocato. Inoltre, poiché non sono stati acquisiti dati finanziari o sensibili, Booking.com non era legalmente obbligata a notificare.
Tuttavia, secondo De Machine: In de ban van Booking.com (traduzione inglese: The Machine: Under the Spell of Booking.com), gli esperti IT di Booking.com hanno raccontato una storia completamente diversa. È stato riferito da tre giornalisti del quotidiano nazionale olandese NRC e dagli autori di libri che la violazione è stata denominata "PIN-leak" poiché l'hacking riguardava PIN rubati da varie prenotazioni.
Il libro affermava inoltre che migliaia di prenotazioni di hotel nei paesi del Medio Oriente, tra cui Qatar, Arabia Saudita ed Emirati Arabi Uniti, erano state ottenute dall'hacker. Le informazioni acquisite includevano il nome e i piani di viaggio dei clienti di Booking.com.
A due mesi dall'inizio della violazione, il dipartimento di sicurezza di Booking.com è stato aiutato dagli investigatori privati degli Stati Uniti, che hanno scoperto che si trattava di un hacker americano che lavorava in un'organizzazione che stava svolgendo incarichi dai servizi di informazione statunitensi.
Inoltre, NRC Handelsblad ha collegato questo incidente alla sorveglianza contro persone di interesse, inclusi diplomatici stranieri da parte degli Stati Uniti. La violazione si è verificata quando il presunto hacker (di nome Andrews) e i suoi compagni si sono imbattuti in un server protetto senza successo che ha consentito loro di accedere ai PIN, che sono anche cercati come codici identificativi univoci dell'account cliente.
Con questi PIN, gli hacker sono stati in grado di rubare copie dei dettagli della prenotazione dei mediorientali che li hanno creati.
All'inizio di quest'anno, Booking.com è stato accusato di 475.000 euro dalle autorità olandesi per la protezione dei dati dopo che i dati sensibili di 4.100 persone sono stati violati e sono stati consultati illegalmente da criminali. In tal caso, i dipendenti degli hotel degli Emirati Arabi Uniti sono stati eliminati socialmente dai dettagli di accesso del loro account.
Gli hotel mediorientali non sono stati le uniche vittime quest'anno. In precedenza, un importante gruppo alberghiero thailandese, Centara Hotels, and Resorts aveva segnalato una violazione dei dati. Questo è il motivo per cui gli hotel devono adottare misure di sicurezza rigorose per prevenire violazioni di massa dei dati, dato che l'acquisizione di informazioni sensibili è diventata estremamente comune.