Booking.com is in 2016 slachtoffer geworden van een hack. Een hacker bekeek duizenden hotelboekingen in het Midden-Oosten. Vermoedelijk gaat het om spionage op personen in het Midden-Oosten, schrijft NRC donderdag op basis van eigen bronnen.

De hacker die de aanval uitvoerde zou werkzaam zijn geweest bij een bedrijf dat vaak voor Amerikaanse inlichtingendiensten werkte, ontdekte het hotelbedrijf na onderzoek in samenwerking met twee Amerikaanse privédetectives. Mogelijk is er sprake geweest van spionage, omdat inlichtingendiensten aan de hand van hotelovernachtingen de reisbewegingen van interessante personen in de gaten kunnen houden.

Door een kwetsbaarheid in een server van Booking.com verkreeg de hacker toegang tot interne systemen. Zodoende kreeg hij inzicht in reserveringen. Samen met inlichtingendienst AIVD onderzocht Booking.com het lek, maar na intern beraad is besloten er geen melding van te maken bij de Autoriteit Persoonsgegevens (AP).

Het hotelbedrijf maakte deze keuze omdat er door het lek geen negatieve gevolgen zouden zijn geweest voor betrokkenen. Twee hoogleraren zeggen tegen NRC dat er goede redenen waren geweest om het lek wel te melden. Het verhaal over de hack staat beschreven in het boek De Machine. Hierin onderzoeken drie NRC-redacteuren de opkomst, de hoogtijdagen en de recente (corona)crisis bij het Amerikaans-Nederlandse Booking.com.

Booking.com kreeg eerder dit jaar een boete van 475.000 euro opgelegd. Het bedrijf kreeg de boete omdat het een ander datalek te laat had gemeld. Bij dat lek werden de persoonsgegevens van meer dan vierduizend klanten buitgemaakt en werden de creditcardgegevens van driehonderd klanten gestolen.