De persoonlijke gegevens van naar schatting 13.500 reizigers uit Nederland waren toegankelijk door een slecht beveiligde database van beheerder Gekko Group. Dat laat het bedrijf weten aan NU.nl. Gekko Group doet zaken met ruim 600.000 hotels wereldwijd.

De database bevatte onder meer namen, rekeningen, wachtwoorden, e-mailadressen, telefoonnummers en in sommige gevallen creditcardnummers. vpnMentor-onderzoeker Ran Locar, die het lek ontdekte, zegt tegen NU.nl dat het wereldwijd om gegevens van tussen de 130.000 en 140.000 reizigers gaat.

Directeur Fabrice Perdoncini van Gekko Group laat in een reactie aan CNET weten dat het lek op 13 november gedicht is. Daarnaast gaat het bedrijf onderzoek doen naar de IT-systemen die het bedrijf gebruikt.

In de database bevonden zich de gegevens van 13.500 Nederlandse klanten, schrijft Gekko in een reactie aan NU.nl. "Er is op het moment geen indicatie dat deze gegevens door iemand misbruikt zijn."

Met gedupeerde reizigers is inmiddels contact opgenomen. Gekko Group, onderdeel van AccorHotels, is een van de grootste bedrijven voor hotelboekingen in Europa.

Ook gegevens van reizigers die nooit direct met Gekko Group hebben gereisd waren mogelijk in te zien. Dat komt doordat de database ook gegevens bevatte van websites als Booking.com en Hotelbeds.com, waar het bedrijf mee samenwerkte.

'Een van de grootste datalekken ooit'

Locar kwam het datalek tegen in een onderzoek in samenwerking met Noam Rotem en vpnMentor. Het team scant het internet op zoek naar servers met onvoldoende beveiliging. Volgens Locar is het lek "een van de grootste ooit" en was er een enorme hoeveelheid gegevens beschikbaar.

Doordat de database op een publieke server stond, was deze toegankelijk voor iedereen. De gegevens werden niet versleuteld, waardoor ze zonder moeite te lezen waren.

Dit artikel is woensdag om 18.38 uur aangevuld met een reactie van Gekko Group.