Booking.com gehackt door Amerikaanse spion

Hoewel hotelwebsite Booking.com dit jaar zijn 25-jarig jubileum viert, valt er op het gebied van privacy niet zoveel te vieren voor het bedrijf. Nadat de Autoriteit Persoonsgegevens (AP) Booking.com begin dit jaar een boete van bijna een half miljoen euro oplegde voor het te laat melden van een datalek, wordt het bedrijf nu wederom verweten een datalek niet te hebben gemeld. In het recent verschenen boek “De Machine” beschrijven drie NRC journalisten dat een hacker, die connecties had met de Amerikaanse inlichtingendiensten, in 2016 toegang heeft verkregen tot duizenden hotelreserveringen in het Midden-Oosten. Booking.com heeft dit datalek echter nooit gemeld aan de getroffen klanten of de AP.

Hoe het allemaal begon

Begin 2016 brak een hacker in op de servers van Booking.com en stal gegevens van duizenden hotelreserveringen van klanten in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten. Het bedrijf ontdekte de spionage per ongeluk. Een medewerker van de beveiligingsafdeling ontdekte ineens heel veel activiteit naar een server, terwijl op deze server eigenlijk weinig zou moeten gebeuren. Zo kwamen ze erachter dat een onbekend persoon toegang had verkregen tot de systemen via deze slecht beveiligde server. Via deze data kon de hacker pincodes bemachtigen die behoorden tot individuele boekingen. Zo had de hacker toegang had tot namen en de reisplannen van de klanten, welke informatie heel waardevol kan zijn voor inlichtingendiensten.

Het incident werd intern het 'PIN-lek' genoemd vanwege de gestolen pincodes uit reserveringen. Dit is onafhankelijk bevestigd door drie voormalige beveiligingsspecialisten van Booking.com en een lid van het management. Na twee maanden onderzoek stelden vier IT-specialisten van het bedrijf met hulp van Amerikaanse privédetectives vast dat de hacker een Amerikaanse man was, genaamd Andrew. Al snel werd duidelijk dat hacker Andrew werkte voor een bedrijf dat opdrachten uitvoerde voor Amerikaanse inlichtingendiensten.

Eerdere aanwijzingen voor hackpogingen

In 2013 werd al bekend dat Amerikaanse inlichtingendiensten hotelwebsites bespioneerden om reisbewegingen van buitenlandse diplomaten in de gaten te houden en afluisterapparatuur in hotelkamers te plaatsen. Bovendien onthulde klokkenluider Edward Snowden dat Britse inlichtingendiensten hier zelfs een speciaal programma voor hadden opgezet, genaamd ‘Royal Concierge’. Hoewel Snowden geen specifieke namen van hotelwebsites noemde, stelde een voormalig medewerker van de beveilingsafdeling van Booking.com dat het gek zou zijn als het bedrijf niet op die lijst zou staan. Het bedrijf was dus al op de hoogte van de mogelijkheid van een hackaanval door een spion van buitenlandse inlichtingendiensten. Booking.com heeft naar aanleiding van deze informatie echter nagelaten extra maatregelen te treffen om een hackaanval te voorkomen.

Meldplicht datalekken

Ten tijde van dit datalek bestond de Algemene verordening gegevensbescherming (AVG) nog niet, maar wel de Wet bescherming persoonsgegevens (Wbp). Hoewel privacyregels destijds iets minder streng waren, was er wel een verplichting om getroffen personen op de hoogte te stellen wanneer de inbreuk waarschijnlijk nadelige gevolgen zou hebben voor hun privéleven. De termijn voor het melden van een datalek bij de AP was destijds, net als nu onder de AVG, 72 uur na de ontdekking.

Na de vaststelling van het incident vroeg Booking.com de Nederlandse inlichtingendienst AIVD om hulp bij het onderzoek naar het datalek. Het bedrijf heeft de getroffen klanten en de AP daarna niet op de hoogte gesteld van het lek. Het management van Booking.com stelt dat het niet wettelijk verplicht was om dit te doen op basis van advies dat het kreeg van een groot advocatenkantoor. De woordvoerder van Booking.com bevestigde dat er in 2016 een ongewone activiteit is geconstateerd. Volgens de woordvoerder van Booking is er geen bewijs gevonden voor ‘daadwerkelijke nadelige effecten op het privéleven van individuen’ en daarom geen melding gemaakt van het datalek. Uit betrokken bronnen is gebleken dat de IT-specialisten zich niet konden vinden in het besluit

van het management om te zwijgen.

Het valt echter te betwijfelen dat de betrokkenen geen last hebben gehad van de hackaanval. Volgens experts kan Booking.com er niet zonder meer vanuit gaan dat de spionage geen gevolgen heeft voor de betrokkenen. Zo kan de gestolen informatie gebruikt worden om mensen op no-fly lijsten te plaatsen, de toegang tot bepaalde landen te ontzeggen of zelfs om af te luisteren. De AP heeft nog geen commentaar gegeven en heeft tot dusver geen onderzoek ingesteld naar Booking. Of de AP naar aanleiding van dit boek nog zelf een onderzoek gaat instellen is nog maar de vraag. Met alle negatieve publiciteit dit jaar zal Booking.com zijn jubileumfeestje misschien toch maar even moeten uitstellen.