Reisorganisaties vertellen je maar al te graag dat je gegevens veilig zijn. Booking.com heeft iedereen er zojuist aan herinnerd waarom dat een belofte is die moeilijk na te komen is.
De in Amsterdam gevestigde boekingsgigant begon op 13 april klanten te informeren dat „onbevoegde derden“ toegang hadden gekregen tot reserveringsgegevens van gasten. De gelekte informatie omvat boekingsgegevens, namen, e-mailadressen, postadressen en telefoonnummers – in feite alles wat nodig is om zich op overtuigende wijze voor te doen als een hotel dat contact opneemt met een gast.
De criminelen lijken toegang te hebben gekregen tot de gegevens door de hotelpartners van Booking.com te hacken. In een rapport van Microsoft wordt de phishingtechniek „ClickFix“ genoemd, waarbij slachtoffers (in dit geval hotelmedewerkers) worden verleid om malware te installeren die is vermomd als een „oplossing“ voor hun computer.
Microsoft wijt de aanval aan een criminele groep genaamd Storm-1865 en heeft ontdekt dat deze groep precies dit soort campagnes voerde tegen hotelmedewerkers in Noord-Amerika, Oceanië, Zuid- en Zuidoost-Azië en Europa, waarbij ze via valse CAPTCHA-pagina’s schadelijke malware zoals XWorm en VenomRAT verspreidden.
In een bericht aan zijn klanten waarschuwde Booking.com dat de gelekte gegevens zouden kunnen worden gebruikt voor phishing en verklaarde het bedrijf dat het nooit om gevoelige gegevens of bankoverschrijvingen zou vragen.
Maar oplichters hebben een beproefde methode om gestolen boekingsgegevens in geld om te zetten. Ze kunnen een reservering kapen door zich voor te doen als een hotel, gasten berichten sturen waarin ze om een extra betaling vragen, of om creditcardgegevens vragen voor „betalingsverificatie“. De gestolen gegevens geven hen alles wat ze nodig hebben om de hotelgast ervan te overtuigen dat ze legitiem zijn.
De Britse instantie Action Fraud ontving tussen juni 2023 en september 2024 532 meldingen van dit soort Booking.com-oplichting, waarbij de slachtoffers in totaal 370.000 pond (ongeveer 470.000 dollar) verloren.
Dit is eerder gebeurd bij partners en klanten van Booking.com. In 2018 hebben criminelen hotelmedewerkers via phishing misleid en zo toegang gekregen tot gegevens van Booking.com-klanten. Later dat jaar voerden oplichters ook een voice-phishingcampagne uit die gericht was op 40 hotels in de VAE. Er werden gegevens van meer dan 4.000 klanten gestolen, waaronder creditcardgegevens van 300 mensen. Booking.com meldde het datalek te laat bij de Nederlandse toezichthouder voor gegevensbescherming, die in 2021 een boete van € 475.000 (ongeveer $ 560.000) oplegde.
Het terugkerende probleem van datalekken in de reisbranche
Dit soort datalekken komen in de reisbranche regelmatig voor. In januari 2026 maakte Eurail een datalek bekend waarbij paspoortnummers, adressen en, voor sommige reizigers, kopieën van identiteitsbewijzen en gezondheidsgegevens uitlekten. Bij KLM en Air France werden in augustus 2025 klantgegevens gestolen. Hertz, Dollar en Thrifty werden allemaal het slachtoffer van de Cl0p-bende, die misbruik maakte van de Cleo-software voor bestandsoverdracht, waarbij criminelen rijbewijzen en creditcardgegevens buitmaakten.
Het opvallende aan al deze incidenten is dat er, net als bij de datadiefstal bij Booking.com, in alle gevallen sprake is van inbreuken bij derde partijen en niet bij de reisorganisaties zelf. De reisbranche beschikt over enorme hoeveelheden paspoortnummers, betaalkaartgegevens en reisplannen. En door de manier waarop de beveiliging is opgezet – met uitgestrekte toeleveringsketens, franchisebedrijven en platforms van derde partijen – vormt de sector een kwetsbaar doelwit.
Wat je kunt doen
Hoeveel klanten zijn hierdoor getroffen? Booking.com doet daar geen uitspraken over. Voor een platform met meer dan 100 miljoen actieve gebruikers van de mobiele app en 500 miljoen maandelijkse websitebezoeken is die stilte zorgwekkend.
Als je onlangs Booking.com hebt gebruikt, vind je hier een praktische gids voor je veiligheid. Vertrouw geen berichten waarin je wordt gevraagd om je betalingsgegevens te ‘verifiëren’, zelfs niet als ze via het platform zelf binnenkomen.
Hier volgt het advies van Booking.com zelf over deze oplichting, dat vóór dit laatste incident werd gepubliceerd:
“Als er geen beleid inzake vooruitbetaling of aanbetaling is vermeld, maar je wordt gevraagd om vooruit te betalen om je reservering te garanderen, is er waarschijnlijk sprake van oplichting.”
Kijk in de bevestigingsmail van je boeking om te zien wat je precies moet betalen en wanneer. Als er iets niet klopt, neem dan rechtstreeks contact op met de accommodatie, in plaats van via een link die iemand je stuurt. En houd je bankafschriften goed in de gaten. De oplichters die dit soort gegevens misbruiken, slaan niet altijd meteen toe.
Voelt er iets niet helemaal goed? Controleer het even voordat je klikt.
Met Malwarebytes Guardkunt u verdachte links, teksten en schermafbeeldingen direct analyseren.
Verkrijgbaar viaMalwarebytes Premium voor al je apparaten, en in deMalwarebytes voor iOS Android.
