Enligt en bok som publicerades på torsdagen bröts Booking.coms servrar och data från användare i Mellanöstern stals redan 2016 av en hackare från den amerikanska intelligensbyrån. Boken avslöjade vidare att händelsen hölls hemlig av det ökända onlinereseföretaget.
AIVD, en holländsk underrättelsetjänst, kontaktades av Booking.com för att undersöka intrånget och kom senare till denna slutsats. Organisationen meddelade dock inte den nederländska dataskyddsmyndigheten och offren, som den juridiska rådgivaren rådde. Dessutom, eftersom ingen ekonomisk eller känslig information inhämtades, var Booking.com inte juridiskt skyldigt att meddela.
Men enligt De Machine: In de ban van Booking.com (engelsk översättning: The Machine: Under the Spell of Booking.com) berättade Booking.coms IT-experter en helt annan historia. Det rapporterades av tre nederländska nationella tidningen NRC:s journalister och bokförfattarna att intrånget kallades "PIN-läcka" eftersom hacket involverade PIN-koder som stulits från olika reservationer.
Boken uppgav vidare att tusentals hotellbokningar i länderna i Mellanöstern, inklusive Qatar, Saudiarabien och Förenade Arabemiraten, erhölls av hackaren. Den inhämtade informationen inkluderade namn och resplaner för Booking.com-kunderna.
Två månader efter intrånget fick Booking.coms säkerhetsavdelning hjälp av USA:s privatutredare, som upptäckte att det var en amerikansk hackare som arbetade i en organisation som utförde uppdrag från den amerikanska underrättelsetjänsten.
Vidare kopplade NRC Handelsblad denna händelse till USA:s övervakning av personer av intresse, inklusive utländska diplomater. Intrånget inträffade när den påstådda hackaren (som enligt uppgift heter Andrews) och hans följeslagare kom över en misslyckad säker server som lät dem komma åt PIN-koderna, som också eftersträvas vara unika kundkontoidentifieringskoder.
Med dessa PIN-koder kunde hackarna stjäla kopior av reservationsdetaljer från Mellanöstern som skapade dem.
Tidigare i år debiterades Booking.com 475 000 € av de nederländska dataskyddsmyndigheterna efter att känsliga uppgifter från 4 100 personer brutits mot och olagligt åtkomst till brottslingar. I det fallet var UAE-hotellens anställda socialt utformade utifrån deras kontoinloggningsuppgifter.
Mellanösternhotellen har inte varit de enda offren i år. Tidigare rapporterade en ledande hotellkoncern i Thailand, Centara Hotels, and Resorts ett dataintrång. Det är därför hotell måste vidta strikta säkerhetsåtgärder för att förhindra massdataintrång, med tanke på att det har blivit extremt vanligt att skaffa känslig information.