Datenleck: US-Spion soll Booking.com gehackt haben

Booking.com hat einen Hack im Jahr 2016 verschwiegen, der von einem Mann mit Verbindungen zu US-Geheimdiensten durchgeführt wurde.

Artikel veröffentlicht am ,
Booking.com hat einen Hack lieber geheim gehalten.
Booking.com hat einen Hack lieber geheim gehalten. (Bild: Denis Charlet/AFP via Getty Images)

Die Reiseplattform Booking.com soll einen Hack im Jahr 2016 verschwiegen haben, bei dem Nutzerdaten kopiert wurden. Laut einem Bericht der niederländischen Zeitung NRC konnte der Angriff einem Mann mit Verbindungen zu US-Geheimdiensten nachgewiesen werden. Weder die betroffenen Kunden noch die zuständige niederländische Datenschutzbehörde wurde von Booking.com informiert.

Stellenmarkt
  1. Datenschutzkoordinator (m/w/d)
    S-Kreditpartner GmbH, Berlin
  2. Cyber Security Manager (m/w/d)
    Jungheinrich AG, Hamburg
Detailsuche

Durch Zufall erfuhr Booking.com Anfang 2016 von dem Spionagevorfall. Ein Angestellter in der Sicherheitsabteilung am Hauptsitz des Unternehmens in Amsterdam stellte fest, dass eine unbekannte Person sich über einen schlecht gesicherten Server Zugriff auf die Systeme der Reiseplattform verschafft hatte.

Der Eindringling griff dabei auf Tausende Hotelreservierungen vornehmlich im Nahen Osten zu und damit auf die persönlichen Daten von Booking.com-Kunden. Nach mehrmonatigen Ermittlungen, die gemeinsam mit Privatdetektiven aus den USA durchgeführt wurden, konnte Booking.com den Angreifer identifizieren. Dieser arbeitete für eine Firma, die Aufträge von US-Geheimdiensten durchführt.

Dass US-Geheimdienste Hotel-Webseiten ausspionieren, ist auch durch die Snowden-Leaks bekannt. Ziel der Angriffe ist es beispielsweise, die Reisebewegungen von Diplomaten nachzuvollziehen und Abhörgerätschaften in deren Hotelzimmern anzubringen. Der britische Geheimdienst Government Communications Headquarters (GCHQ) nennt ein Programm, mit dem weltweit die Reservierungssysteme von mehr als 350 häufig von Diplomaten sowie Regierungsdelegationen gebuchten Hotels überwacht werden: Royal Concierge.

Geheimhaltung des Booking.com-Hacks umstritten

Golem Akademie
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
Weitere IT-Trainings

Zwar hatte Booking.com den niederländischen Geheimdienst AIVD um Hilfe bei der Untersuchung gebeten, die Betroffenen oder die niederländische Datenschutzbehörde wurden jedoch nicht informiert. Laut Booking.com kam man in Absprache mit einer Anwaltskanzlei zu dem Schluss, dass das Unternehmen zu dem Zeitpunkt nicht rechtlich dazu verpflichtet gewesen sei, den Vorfall weiterzugeben.

Mit dieser Entscheidung seien zumindest die IT-Spezialisten des Unternehmens nicht einverstanden gewesen, heißt es in dem Bericht der NRC. Zudem ist umstritten, ob das Unternehmen nach den damals gültigen Datenschutzgesetzen nicht doch zur Information der Betroffenen verpflichtet gewesen wäre. Dies schreibt das Gesetz vor, wenn die Datenschutzverletzung "wahrscheinlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen haben würde".

Der Professor für Recht und digitale Technologien an der Universität Leiden, Gerrit-Jan Zwenne, betont, dass Booking.com keineswegs davon habe ausgehen können, dass die Betroffenen nicht von einer Spionage betroffen gewesen seien. "Diese Art von gestohlenen Informationen kann verwendet werden, um Personen auf Flugverbotslisten zu setzen, ihnen die Einreise in bestimmte Länder zu verbieten oder sie abzuhören", erklärte Zwenne.

Erst im April 2021 musste Booking.com ein Bußgeld von 475.000 Euro entrichten, da die Firma einen Datenschutzverstoß zu spät an die zuständige Behörde meldete. Statt der vorgeschriebenen 72 Stunden hatte Booking.com den Sicherheitsvorfall erst nach 22 Tagen an die Datenschutzbehörde übermittelt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /