Gebruikers van Booking.com slachtoffer van ingenieuze hack: “Systeem is verre van waterdicht”

Reizigers die een hotel hadden geboekt via Booking.com zijn het slachtoffer geworden van een complexe hack. Door profielen van hotels over te nemen, wisten hackers geld afhandig te maken. Ethisch hacker bij Fox & Fish Reinaert Van de Cruys geeft toelichting aan Business AM.


Beluister hier het volledige interview met Reinaert Van de Cruys:


Waarom is dit belangrijk?

Door de complexiteit van de hack is er weinig wat de eindgebruikers hadden kunnen doen. Booking.com beweert veiligheidsmaatregelen genomen te hebben, maar die bleken zo lek als een mandje.
  • Van de Cruys legt uit: “De hackers hebben hotels aangevallen die hun diensten verlenen via booking.com. Ze hebben phishing-mails naar die hotels gestuurd. Op die manier hebben ze een virus of malware kunnen installeren op de toestellen van die hotels.”
  • “Vervolgens hebben de hackers de booking.com-accounts van die hotels gebruikt om berichten naar hun klanten te sturen met de vraag om een nieuwe betaling te doen omdat de oude zogezegd mislukt was. Booking.com dus is niet rechtstreeks gehackt, maar hun platform wordt wel gebruikt om geld van mensen te gaan stelen.”

Verantwoordelijkheid van Booking.com

De hamvraag: Hoeveel verantwoordelijkheid draagt Booking.com zelf?

  • “Booking.com zegt dat het al veel doet”, haalt Van de Cruys aan. “Zoals het sensibiliseren van hotels, hoe zij zich kunnen beveiligen tegen phishing en hacking. Het is moeilijk om die hotels daartoe gemotiveerd te krijgen om dat grondig aan te pakken.”
  • “Het bedrijf beweert ook dat het probeert om dat soort kwaadaardige berichtjes te filteren. Stel dat een hotel vreemde berichten naar klanten begint te sturen om bijkomende betalingen te vragen. Booking.com zegt dat het systemen heeft om die berichten te onderscheppen. Dat systeem is dus duidelijk verre van waterdicht.”

Gebruiker treft weinig schuld

  • “Als hackers een phishing-mail moeten sturen vanuit een anoniem adres, dan is de slaagkans veel lager. In dit geval kunnen ze klanten contacteren in naam van dat hotel zelf. En ze zijn op de hoogte van de reservatiegegevens. Dat maakt die aanvallen bijzonder overtuigend.”
  • Van de Cruys vindt dat de verantwoordelijkheid niet bij de gedupeerde gebruikers gelegd moet worden: “Dit moet hoofdzakelijk vanuit de hotels en booking.com worden aangepakt. Ik kan weinig advies geven aan de gemiddelde persoon, juist omdat het zo’n zo’n doeltreffende aanval is.”

(evb)

Meer
Lees meer...