Veiligheid

Nederlandse waakhond beboet €475.000 nadat het langer dan 3 weken diefstallen van klantgegevens stil hield

De Autoriteit Persoonsgegevens heeft Booking.com een boete van 475.000 euro opgelegd voor het te laat melden dat criminelen toegang hadden gekregen tot de gegevens van 4.109 mensen die via de website een hotelkamer hadden geboekt.

De Autoriteit Persoonsgegevens (AP) zei dat criminelen erin slaagden om de inloggegevens naar hun Booking.com accounts te extraheren van werknemers van 40 hotels in de Verenigde Arabische Emiraten met behulp van social engineering-technieken.

Ze kregen vervolgens toegang tot gegevens, waaronder namen, adressen, telefoonnummers en details van gebruikers over hun boeking. Het voegde eraan toe (vertaald uit het Nederlands):

De criminelen [kregen] ook toegang tot de creditcardgegevens van 283 mensen – inclusief de beveiligingscode van de creditcard in 97 gevallen. Bovendien probeerden ze de creditcardgegevens van andere slachtoffers te verkrijgen door zich voor te doen als een werknemer van Booking.com per e-mail of telefoon.

Booking.com vertelde The Register dat er geen inval was geweest in zijn “interne systemen (noch de code of databases die het Booking.com platform aandrijven werden gecompromitteerd),” eraan toevoegend dat het incident “geïsoleerd was voor 40 hotels in de VAE waar partners de inloggegevens aan hun Booking.com accounts verstrekten aan online criminelen.”

In het bijzonder, volgens een rapport van AP [PDF, vertaald]: “Een onbekende derde partij kreeg toegang tot het Booking[.com] Extranet, waar Trip Providers … inloggen om de nodige reserveringsgegevens van de gasten te verkrijgen.”

De waakhond voegde eraan toe dat de gegevens die in het Extranet werden bewaard voornamen, achternamen, adressen, telefoonnummers, in- en uitcheckdata, totale prijs, reserveringsnummers, eventuele correspondentie tussen het hotel en de gasten en – voor 283 partijen – hun betaalkaartgegevens bevatten. Zevenennegentig daarvan bevatten de kaartverificatiecode.

Het Nederlandse bedrijf kreeg een boete van 475.000 euro voor te late melding. De AP zei dat het bedrijf op 13 januari 2019 op de hoogte was gesteld van het datalek, maar dit pas op 7 februari bij de waakhond had gemeld en opmerkte: “Dat is 22 dagen te laat.”

Op grond van artikel 33 van de Europese Algemene Verordening Gegevensbescherming zijn bedrijven verplicht om binnen 72 uur een “datalek” te melden.

De getroffen klanten kregen zelf op 4 februari 2019 te horen – dat was nog 22 dagen na het lek. De waakhond voegde er echter aan toe [PDF], Booking nam andere maatregelen om de schade te beperken, waaronder een aanbod om klanten te compenseren die uit hun zak waren.

Booking vertelde The Reg in een verklaring: “Alle getroffen klanten werden in februari 2019 op de hoogte gebracht en vervolgens volledig ondersteund, inclusief het claimen van terugvorderingen waar nodig van hun financiële instellingen.”

Over de vertraging stond: “We hebben de zaak helaas niet zo snel laten escaleren als we intern hadden gewild. Sindsdien hebben we echter maatregelen genomen om het bewustzijn en de educatie bij onze partners en de medewerkers die hen nauw ondersteunen verder te verbeteren, met als doel de snelheid en efficiëntie van onze interne rapportagekanalen verder te optimaliseren, wat een continu en iteratief proces is.”

AP-vicepresident Monique Verdier zei over de boete: “Booking.com klanten liepen het risico hier beroofd te worden. Zelfs als de criminelen geen creditcardgegevens hebben gestolen, maar alleen iemands naam, contactgegevens en informatie over zijn of haar hotelboeking… de oplichters [toen] gebruikten die gegevens voor phishing.”

“Dit is een ernstige overtreding,” voegde ze eraan toe.

Hoewel niet op de schaal van de 2018 Starwood Hotels megaleak, waarin 339 miljoen gegevens van mensen werden gestolen van de hotelketen en Marriott een boete van £ 18,4 miljoen kreeg (zonder aansprakelijkheid te accepteren), is het niettemin opmerkelijk omdat een boete voor late kennisgeving (artikel 33) vrij zeldzaam is. Bedrijven krijgen bescherming tegen boetes als ze bijvoorbeeld een redelijke verklaring geven voor de vertraging.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *