Mensen met hotelreserveringen in Nederland krijgen overtuigende valse betaalverzoeken toegestuurd door criminelen die hun boekingsgegevens hebben bemachtigd, na een datalek dat zeker honderd hotels heeft getroffen.
Hospecs, een bedrijf dat hotels exploiteert en diensten levert aan de sector, bevestigde de inbreuk dinsdag en vertelde de NOS dat de gestolen gegevens de contactgegevens van gasten en hun aankomst- en vertrekdata bevatten.
Gedeelde boekingssoftware verdacht
Het is nog niet duidelijk hoe de aanvallers binnenkwamen, maar directeur Tim Vissers van Hospecs zei dat het zwakke punt waarschijnlijk ligt in de software die door meerdere hotels wordt gebruikt en niet in de eigen systemen van het hotel.
“Tussen het maken van een reservering en het bevestigen ervan zitten verschillende lagen”, zegt hij tegen de NOS, wijzend op de systemen die boekingen registreren en prijzen vaststellen. “Het lek lijkt in een daarvan te zitten.”
Hospecs zei dat de getroffen hotels bepaalde boekings-, kanaal- of vastgoedbeheersystemen lijken te delen, hoewel het bedrijf geen leverancier heeft genoemd zolang het onderzoek voortduurt.
Er komen nog steeds meldingen binnen
Minstens honderd Nederlandse hotels zijn getroffen, zei Vissers, en er kwamen nog meer berichten uit België en Ierland. Hij schatte dat het aantal getroffen gasten uiteindelijk in de honderden of duizenden zou kunnen lopen, maar zei dat het beeld nog in kaart werd gebracht.
“De meldingen stromen binnen”, zei hij, eraan toevoegend dat er elke dag tientallen phishing-berichten naar hotelklanten gingen met het verzoek om voor hun reservering te betalen.
De Nederlandse gegevensbeschermingsautoriteit AP zegt onderzoek te doen. Horecagroep KHN roept iedereen die een kamer heeft geboekt op om de afzender van elk bericht zorgvuldig te controleren.
Laatste in een reeks inbreuken
De zaak is de laatste in een reeks inbreuken die organisaties in Nederland dit jaar treffen. Reisplatform Booking.com waarschuwde klanten in april voor een lek in reserveringsgegevens.
Hackers hebben dit jaar ook gegevens gestolen van telecomgroep Odido, medisch softwarebedrijf Chipsoft en vrijwel alle inwoners van het Gelderse Epe.
Klanten van Booking.com waren het doelwit van phishing via de eigen berichten van het platform in een eerdere oplichting waarbij dezelfde tactiek voor betalingsverzoeken werd gebruikt.
Gasten met een live boeking worden geadviseerd om niet te reageren op betalingsverzoeken die per bericht worden verzonden, en rechtstreeks contact op te nemen met hun hotel via de officiële kanalen om te controleren of er daadwerkelijk betaald moet worden.
