image

NRC: details duizenden reserveringen Booking.com in 2016 gestolen

donderdag 11 november 2021, 10:02 door Redactie, 4 reacties

In 2016 zijn bij Booking.com details van duizenden reserveringen gestolen, zo meldt NRC op basis van een boek over het bedrijf dat vandaag verschijnt. Volgens de krant ging het om reserveringsgegevens van hotels in het Midden-Oosten en had de aanvaller nauwe banden met de Amerikaanse inlichtingendiensten. Booking.com heeft het datalek nooit aan getroffen klanten gemeld.

De hotelreserveringssite ontdekte de inbraak op de eigen systemen zelf. De aanvaller bleek vanaf een server van Booking.com door middel van pincodes, unieke codes die bij specifieke reserveringen horen, informatie over duizenden hotelboekingen op te vragen. Het ging daarbij om hotels in landen in het Midden-Oosten, waaronder Saoedi-Arabië, Qatar en de Verenigde Arabische Emiraten.

De aanvaller kon door een fout worden achterhaald, zo meldt NRC. Hij zou vanaf zijn eigen thuislocatie hebben ingelogd op de server van de hotelreserveringssite. De router die de aanvaller hiervoor gebruikt hoort bij een Androidtelefoon waarmee weleens een overnachting via de Booking-app is gemaakt. Door alle gegevens te combineren achterhaalt Booking.com de naam, nationaliteit en locatie van de aanvaller.

Hij zou in de Verenigde Staten wonen en werkzaam zijn voor een securitybedrijf dat opdrachten uitvoert voor één van de Amerikaanse inlichtingendiensten. De inbraak wordt in 2016 opgemerkt, nog voor de inwerkingtreding van de AVG. Booking.com was dan ook niet verplicht om het datalek aan klanten te melden. In een reactie stelt het bedrijf dat er geen toegang is verkregen tot gevoelige of financiële informatie.

"De toenmalige leiding werkte volgens de principes van de AVG, die bedrijven ertoe aanzette om alleen verdere stappen te ondernemen op het gebied van melding als er daadwerkelijke negatieve effecten waren op het privéleven van individuen, waarvoor geen bewijs werd gevonden", aldus een woordvoerder van Booking.com. Begin dit jaar kreeg de hotelreserveringssite nog een boete van 475.000 euro van de Autoriteit Persoonsgegevens voor het te laat melden van een datalek in 2019.

Reacties (4)
11-11-2021, 11:17 door Anoniem
Zo uit mijn hoofd: artikel 16 uit de Wbp: meldplicht datalekken.
11-11-2021, 11:30 door [Account Verwijderd] - Bijgewerkt: 11-11-2021, 12:27
...'aanvaller had nauwe banden met Amerikaanse inlichtingendiensten’...

In 2016 breidde de invloed van IS in het Midden-Oosten zich steeds verder uit. Naast de al enkele jaren gaande horror-repressie van andersdenkenden, zoals in Raqqa, (Irak), vonden er door aanhangers van IS diverse aanslagen plaats zoals in Nice (Frankrijk)
De aanloop naar spionage gericht op IS zal m.i. al wel begonnen zijn in 2014 naar aanleiding van bijvoorbeeld de misselijkmakende executie van een Amerikaanse journalist, die op social media werd gestreamd.

Gezien dat alles vind ik het daarom niet verwonderlijk dat naties (1) IT technologie aangrepen om alle eventuele acties of invloed van IS te zien aankomen en zoveel mogelijk in de kiem te smoren.

(1) Ik denk dat als onderzoeksjournalistiek extensief wordt uitgeoefend m.b.t. opsporingsactiviteiten gericht op IS en het Midden-Oosten in die periode, het helemaal niet zo onwaarschijnlijk zal zijn dat er veel meer wordt ontdekt.

Ook Nederlandse spionageactiviteiten met dezelfde doelstelling en werkwijze? Waarom niet?

Ik vind het daarom niet zo’n schokkend nieuws. Spionage is ook geëvolueerd en degenen die zich daarmee bezighouden gebruiken nu IT technologie i.p.v. een Minox camera, 50 jaar terug.

Samenvattend:
Het is een vorm van ordinaire gebruikelijke spionage die altijd op het randje van (inter)nationale wetgeving plaatsvindt of totaal elke wetgeving negeert, waarbij vooral elke wetgeving m.b.t. behoud of stabilisatie van privacy grof wordt geschonden. Spionage is van alle tijden, volstrekt ambivalent, en zal daarom altijd blijven inbreken op elke wetgeving dan ook, Ja zelfs met verzwegen goedkeuring door willekeurig welke overheid waar dan ook ter wereld.
11-11-2021, 16:27 door Anoniem
Een begeleidend artikel van NRC over deze zaak is in het Engels gepubliceerd:


American spy hacked Booking.com, company stayed silent

Hacker ‘Andrew,’ who had close ties with American intelligence services, accessed thousands of hotel reservations in Middle-Eastern countries. Booking.com did not report the data breach to customers or authorities.

https://www.nrc.nl/nieuws/2021/11/10/american-spy-hacked-bookingcom-company-stayed-silent-a4065086

Booking.com requested help from the Dutch intelligence service, AIVD, in its investigation into the extensive data breach, but did not notify the affected customers or the Dutch Data Protection Authority (AP). The management claims it was not legally required to do so at the time, based on advice it received from the law firm Hogan Lovells. The AP declined to comment.
11-11-2021, 22:49 door [Account Verwijderd]
Door Anoniem: Een begeleidend artikel van NRC over deze zaak is in het Engels gepubliceerd:


American spy hacked Booking.com, company stayed silent

Hacker ‘Andrew,’ who had close ties with American intelligence services, accessed thousands of hotel reservations in Middle-Eastern countries. Booking.com did not report the data breach to customers or authorities.

https://www.nrc.nl/nieuws/2021/11/10/american-spy-hacked-bookingcom-company-stayed-silent-a4065086

Booking.com requested help from the Dutch intelligence service, AIVD, in its investigation into the extensive data breach, but did not notify the affected customers or the Dutch Data Protection Authority (AP). The management claims it was not legally required to do so at the time, based on advice it received from the law firm Hogan Lovells. The AP declined to comment.


@ Anoniem, 16:27 uur,

Dank voor deze link naar het artikel, dat wat dieper ingaat op het geheel.
De Nederlandstalige weergave hiervan is nog uitgebreid met een bijzonderheid als afsluiting:

'...Hoe de wantrouwige securityspecialist die een belangrijke rol had bij het achterhalen van de identiteit van de spion bij Booking hiertegen aankijkt, is onbekend. Hij zegde niet veel later zijn baan op, omdat hij weigerde te werken voor een bedrijf dat, zoals Booking van plan was, Facebook at Work ging gebruiken als intranet. Dat vond hij in bed liggen met de duivel.

De man verdween in stilte en ging volledig off the grid. Nergens zijn digitale sporen van zijn bestaan meer te vinden...

Vooral dat laatste is opmerkelijk. Voor digitaal off the grid gaan komt heel wat kijken en is ontzettend moeilijk. Iedereeen weet dat als je eenmaal binnen rolt in het digitale netwerkdomein dat zolang is totdat iemand de stekker er mondiaal uittrekt. Het is bijna pure science fiction.
Maar stel....
Het doet mij dan voorkomen dat deze informant met hulp van alleen god weet welke intelligence service dit voor elkaar heeft gekregen.
Andere identiteit ook misschien? Al met al wordt het vanaf hier 100% speculeren en zou het inspiratie vormen voor een boek van John le Carré, en dáár waag ik me niet aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.