Booking.com-Hack aus 2016 wohl durch Mitarbeiter des US-Geheimdiensts

[English]Bei der auch in Deutschland recht populären Hotel-Reservierungsplattform booking.com gab es 2016 einen, durch einen Hack verursachten, Datenschutzverstoß, für die die Plattform nichts konnte (Zugangsdaten von Hotel-Mitarbeitern wurden entwendet). Da der Vorfall zu spät gemeldet wurde, verhängte die Niederländische Datenschutzaufsicht einen Bußgeldbescheid. Jetzt stellt sich heraus, dass der Hack bei Booking.com wohl durch einen Mitarbeiter des US-Geheimdiensts erfolgte. Man wollte an die Buchungsdaten von Hotels in arabischen Ländern.

Booking.com ist recht populär, wenn es um die schnelle Buchung von Unterkünften geht. Ich selbst nutze das gelegentlich, zuletzt vor gut vier Wochen, als ich schnell eine Unterkunft im Ort Bad Ems benötigte. Über Booking.com hatte ich schnell eine passende Unterkunft, die frei war und alle Ausstattungsmerkmale bot, die mir wichtig waren. Später habe ich die Unterkunft noch zwei Mal direkt beim Vermieter für Folgewochenende gebucht.

Der Datenschutzvorfall aus 2016

So gesehen ist Booking.com schon sehr hilfreich, aber es hat auch Schattenseiten. Anfang 2016 wurde der in den Niederlanden angesiedelte Hotelbuchungsdienstleister Booking.com Opfer eines Hacks. Booking.com entdeckte das Eindringen Anfang 2016 durch Zufall. Ein Mitarbeiter der Sicherheitsabteilung am Hauptsitz des Unternehmens in Amsterdam bemerkte, dass sich eine unbekannte Person über einen schlecht gesicherten Server Zugang zu den Systemen von Booking.com verschafft hatte. Dem Angreifer war es gelungen, mit Hilfe von Social-Engineering-Techniken, Mitarbeitern von 40 Hotels in den Vereinigten Arabischen Emiraten (VAE) die Anmeldedaten für ihre Booking.com-Konten zu entlocken.

Der Hacker griff auf Tausende von Hotelreservierungen im Nahen Osten (einschließlich Saudi-Arabien, Katar und den Vereinigten Arabischen Emiraten) zu. Beim Hack wurden Namen von Booking-Kunden und deren Reisepläne abgefragt. Zu den erbeuteten Daten gehörten auch Namen, Adressen, Telefonnummern und Details zu den Buchungen der Nutzer – und es wurde auf Kreditkartendaten zugegriffen.

Weil der Dienstleister diesen Datenschutzvorfall nicht zeitnah meldete, erließ die niederländische Datenschutzbehörde (The Netherlands Data Protection Authority) einen Bußgeldbescheid mit einer Geldstrafe in Höhe von 475.000 Euro gegen Booking.com. Das wurde im April 2021 bekannt (siehe mein Beitrag Booking.com: 475.000 Euro Strafe für verzögerte Meldung eines Hacks). Der Grund war, dass das Unternehmen zu spät darüber informierte, dass Dritte auf die Daten von 4.109 Personen zugegriffen hatten, die über die Website des Anbieters ein Hotelzimmer gebucht hatten.

Hack durch US-Geheimdienst-Mitarbeiter

Das Niederländische Medium NRC berichtet in diesem Artikel über jetzt durch eine Buchveröffentlichung bekannt gewordene Details. Der Anfang 2016 in die Server der Hotel-Website Booking.com eingedrungene Hacker wurde nur zufällig bemerkt. Der Person war es gelungen, Tausenden von Hotelreservierungen in Ländern des Nahen Ostens abzufragen.

Nach zweimonatigen Recherchen stellten vier IT-Spezialisten von Booking.com fest, dass es sich bei dem Hacker um einen US-Amerikaner handelte, der enge Verbindungen zu amerikanischen Geheimdiensten hatte. Das Management von Booking.com bat zwar den niederländischen Nachrichtendienst AIVD um Hilfe bei der Untersuchung des Cyberangriffs. Das Management benachrichtigte aber weder die betroffenen Kunden noch die niederländische Datenschutzbehörde (AP). Die Argumentation war, dass man zu diesem Zeitpunkt rechtlich nicht dazu verpflichtet war, und beruft sich dabei auf die Beratung durch die Anwaltskanzlei Hogan Lovells.

Bei den IT-Spezialisten von Booking war man bezüglich dieser Entscheidung nicht einverstanden, da die Implikationen für die vom Hack betroffenen Personen recht problematisch sein konnten. Nach Ansicht von Gerrit-Jan Zwenne, Professor für Recht und digitale Technologien an der Universität Leiden, können die gestohlenen Informationen verwendet werden, um Menschen auf Flugverbotslisten zu setzen, ihnen die Einreise in bestimmte Länder zu verbieten oder sie abzuhören. Das oben erwähnte Bußgeld war die Folge dieser Politik des Booking.com-Managements.

Dieser amerikanische Spionageakt wird in dem Buch "De Machine" (Die Maschine) beschrieben, das letzten Donnerstag veröffentlicht wurde. Darin untersuchen drei Journalisten der niederländischen Tageszeitung NRC den Aufstieg, die Blütezeit und die jüngste (COVID-19) Krise der amerikanisch-niederländischen Website Booking.com für Hotelreservierungen. Das Unternehmen feiert in diesem Jahr sein 25-jähriges Bestehen und ist mit 28 Millionen angeschlossenen Unterkünften die größte Reservierungsplattform der Welt.

Ähnliche Artikel:
Booking.com: 475.000 Euro Strafe für verzögerte Meldung eines Hacks
Hotel-Reservierungsplattform Prestige Software legt Hundertausende Gästedaten offen