Booking.com: 475.000 Euro Strafe für verzögerte Meldung eines Hacks

ParagraphKurze Information zum Thema DSGVO-Verstoß und Meldepflicht. Bei der Hotel-Reservierungsplattform booking.com gab es einen Datenschutzverstoß, für die die Plattform nichts konnte (Zugangsdaten von Hotel-Mitarbeitern wurden entwendet). Weil booking.com diesen Vorfall aber zu spät bei der Datenschutzaufsicht meldete, gab es jetzt einen Bußgeldbescheid.


Anzeige

Kriminellen gelang es, mit Hilfe von Social-Engineering-Techniken, Mitarbeitern von 40 Hotels in den Vereinigten Arabischen Emiraten (VAE) die Anmeldedaten für ihre Booking.com-Konten zu entlocken. Anschließend verschafften sie sich Zugang zu Daten wie Namen, Adressen, Telefonnummern und Details zu den Buchungen der Nutzer – und es wurde auf Kreditkartendaten zugegriffen. Dazu heißt es:

The criminals also [accessed] the credit card details of 283 people – including the security code of the credit card in 97 cases. In addition, they tried to obtain the credit card details of other victims by posing as an employee of Booking.com by email or telephone.

Die niederländische Datenschutzbehörde (The Netherlands Data Protection Authority) hat Booking.com nun mit einer Geldstrafe in Höhe von 475.000 Euro belegt, weil das Unternehmen zu spät darüber informierte, dass Kriminelle auf die Daten von 4.109 Personen zugegriffen hatten, die über die Website ein Hotelzimmer gebucht hatten.

Euro-Noten
(Quelle: Pexels CC0 Lizenz)

Erinnert daran, dass Firmen bei Datenschutzverstößen die zuständige Datenschutzaufsicht binnen 72 Stunden informieren müssen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Booking.com: 475.000 Euro Strafe für verzögerte Meldung eines Hacks

  1. Tom sagt:

    Naja, bei 15 MILLIARDEN US-Dollar Umsatz in 2019… – kommen wir aber nun zu etwas völlig anderem…
    https://de.wikipedia.org/wiki/Booking_Holdings

  2. Apo sagt:

    Wohin und wie meldet man so etwas überhaupt?
    Habe es gerade gegoogelt, es gibt wohl eine Website für sowas: https://www.lda.bayern.de/de/datenpanne.html

    Und wie es aussieht hätte man jeden Exchange Hack von vor zwei Wochen melden müssen, eine eigene Kategorie dafür gibt es ja. Wirklich? Da müsste ich ja jetzt noch 20 Meldungen für meine Kunden nachreichen, oder wie? Weil Webshells waren überall vorhanden…

  3. Fragender sagt:

    Ich übertrage das mal fragend auf ein anderes Beispiel: Ein Internetnutzer "verliert" sein email-Postfachkennwort an einen Angreifer (oder der errät es). Der Angreifer liest das Webmailkonto des Nutzers, wo ggf. hunderte oder tausende eMails liegen; sprich hunderte personenbezogene Daten (Mailadressen, ggf. privat Mails über Gesundheit, Hobbies etc). Und dann muss der eMail-Anbieter einen Datenschutzvorfall melden? Hatten denn die Hotels den Vorfall an Booking.com gemeldet? Oder wie/wann hat Booking.com von dem Vorfall erfahren?

Schreibe einen Kommentar zu Apo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.