Datalek bij Booking.com: wees voorbereid op vragen van gasten en alert op mogelijk misbruik

Booking.com bevestigde onlangs dat onbevoegden toegang hebben gehad tot delen van hun systemen. Daarbij zijn boekingsgegevens van klanten ingezien. Op dit moment is het niet bekend hoeveel personen zijn getroffen. Volgens het platform gaat het om een duidelijk(e) datalek / hack, waarbij mogelijk de volgende gegevens zijn ingezien:

• boekingsgegevens
• namen
• e-mailadressen
• telefoonnummers
• informatie die gasten zelf met accommodaties deelden

Financiële gegevens, zoals creditcardinformatie, zouden niet zijn buitgemaakt.

Waarschuwing voor gasten

Booking.com waarschuwt dat getroffen gasten mogelijk worden benaderd door oplichters, die zich voordoen als accommodatie of als het platform zelf.
Booking.com benadrukt dat:

• het nooit vraagt om creditcardgegevens via e-mail, telefoon, sms of WhatsApp;
• het nooit vraagt om betalingen buiten de bestaande boekingsvoorwaarden;
• gasten voorzichtig moeten zijn met links in berichten.

Wat betekent dit voor jou als ondernemer?

Je kunt de komende periode vragen krijgen van gasten over de veiligheid van hun boeking of over de betrouwbaarheid van ontvangen communicatie.

Het is aan jou als ondernemer om te bepalen of en hoe je je gasten hierover informeert. Je kunt:

• je gasten actief attenderen bij contactmomenten;
• een korte waarschuwing plaatsen op je website;
• je medewerkers instrueren om alert te reageren op vragen 

Vanuit KHN adviseren we je om ervoor te zorgen dat je voorbereid bent op vragen van gasten en dat je medewerkers weten hoe zij deze kunnen beantwoorden. Adviseer je gasten om verdachte berichten altijd te verifiëren via officiële kanalen en kijk mee met je gasten.

Welke maatregelen kun je treffen?

Dit soort incidenten komen helaas steeds vaker voor. Ondanks dat niet te herleiden is welke partner in de boekingsketen is gehackt, zien we dat hackers zich richting de gast vaak voordoen als Booking.com. Hotels zijn extra kwetsbaar, omdat zij veel persoons- en betaalgegevens verwerken, gebruikmaken van boekingsplatforms en externe systemen. Cyberaanvallen richten zich met name op phishing en social engineering, ransomware en kwetsbare koppelingen met externe systemen. 

Je kunt je hiertegen beschermen door te focussen op een aantal belangrijke maatregelen.

1. Zorg voor een sterke basisbeveiliging (de “hygiëne”)
   Sterke wachtwoorden en multi-factor authenticatie, regelmatige updates en patches van systemen, gebruik van antivirus, firewalls en monitoring en versleuteling van data zoals betalingen, reserveringen en e-mails vormen de basis.
2. Beperk toegang tot systemen 
   Geef je medewerkers alleen toegang tot wat ze nodig hebben. Werk met functie- en rol-gebaseerde toegang en gebruik extra verificatie voor gevoelige systemen.
3. Train je medewerkers 
   Veel aanvallen beginnen met een medewerker die op een link klikt, inloggegevens deelt of telefonisch wordt misleid. Met regelmatige phishing-trainingen, simulaties en duidelijke instructies kun je dit risico beperken.
4. Beveilig je wifi en netwerken
   Scheid gastwifi en interne systemen, gebruik sterke encryptie en beveilig ook IoT-apparaten, zoals slimme sloten of thermostaten.
5. Let op externe partijen en boekingsplatforms
   Werk je met Online Travel Agency’s, PMS-systemen en betaalproviders? Controleer de beveiliging van je partners, beperk de toegang van externe systemen en monitor verdachte activiteiten.
6. Maak back-ups en bereid incidenten voor
   Zorg voor regelmatige offline back-ups, stel een incident response plan op en oefen wat je kunt doen bij een hack.
7. Controleer en test regelmatig
   Voer security audits uit, laat systemen testen en blijf je beveiliging continu verbeteren.
8. Kijk voor praktische tips op Platform Veilig Ondernemen.