Thought Leadership
Ein unbefugter Zugriff auf Buchungsdetails versetzt Kunden von Booking.com in Unruhe. Während Zahlungsdaten laut Unternehmen sicher sein sollen, eröffnen gestohlene Namen und Reisedaten nach der Datenpanne Tür und Tor für Phishing.
Reisen ist Vertrauenssache – doch genau dieses Vertrauen steht bei Kunden der weltweit führenden Reiseplattform Booking.com derzeit auf dem Prüfstand. Das Unternehmen mit Hauptsitz in Amsterdam sah sich gezwungen, eine Sicherheitswarnung herauszugeben, nachdem ein unbefugter Zugriff auf sensible Reservierungsdaten festgestellt wurde.
Art des Cyberangriff unbekannt
Nach offiziellen Angaben des Unternehmens gelang es einem nicht autorisierten Dritten, Informationen einzusehen, die unmittelbar mit den Reisebuchungen der Gäste verknüpft sind. In den Benachrichtigungen, die bereits zahlreiche Kunden erreicht haben, wird spezifiziert, welche Daten potenziell in fremde Hände gelangt sind: Es handelt sich um Namen, E-Mail-Adressen und Telefonnummern sowie spezifische Details, welche die Gäste im Rahmen ihrer Reservierung mit den jeweiligen Unterkünften geteilt haben. Dies könnte beispielsweise Ankunftszeiten, Sonderwünsche oder die Anzahl der reisenden Personen umfassen.
Gegenüber SecurityWeek sagte Booking.com: Es handele sich nicht um einen klassischen Einbruch in die individuellen Kundenkonten. Die Accounts selbst seien nach derzeitigem Kenntnisstand nicht kompromittiert worden. Dennoch bleibt eine entscheidende Frage vorerst unbeantwortet: Die Plattform gab bisher keine Auskunft darüber, wie viele Kunden genau von diesem Sicherheitsvorfall betroffen sind. Auch die technische Natur des Zugriffs bleibt im Dunkeln. Es ist unklar, ob eine direkte Schwachstelle in den Systemen von Booking.com ausgenutzt wurde oder ob die Täter über andere Wege, etwa durch kompromittierte Schnittstellen zu den angeschlossenen Hotels, an die Informationen gelangten.
„Wir haben schnell gehandelt und das Problem vollständig eingegrenzt. Wir haben die PIN-Nummern für diese Reservierungen aktualisiert und unsere Kunden entsprechend informiert. Während auf keine Finanz- oder Zahlungsinformationen zugegriffen wurde, erinnern wir unsere Kunden auch daran, gegenüber potenziellen Phishing-Angriffen wachsam zu bleiben, und betonen, dass Booking.com niemals per E-Mail, Telefon, WhatsApp oder Textnachricht nach Kreditkartendetails fragen wird oder sie auffordert, eine Banküberweisung zu tätigen, die von den Zahlungsdetails in ihrer Buchungsbestätigung abweicht.“
Ein Sprecher von Booking.com
Nach Datenpanne bei Booking.com: Betrugsnachrichten möglich
Das Hauptrisiko für die Betroffenen verschiebt sich damit von einem direkten finanziellen Diebstahl hin zu einer erhöhten Gefahr durch Social Engineering. Da die Angreifer nun über reale Buchungsdaten verfügen, können sie extrem glaubwürdige Betrugsnachrichten verfassen. Wenn ein Hacker weiß, wann ein Gast in welchem Hotel eincheckt, kann er eine täuschend echte Nachricht simulieren, die beispielsweise eine „dringende Bestätigung der Kreditkarte“ fordert, um die Buchung nicht zu stornieren.
Dass Booking.com vorsorglich die PIN-Nummern der betroffenen Reservierungen geändert hat, unterstreicht den Ernst der Lage. Diese PINs dienen oft als Sicherheitsanker für Änderungen an der Buchung. Nutzer sind nun aufgefordert, jede Form der Kommunikation, die außerhalb der offiziellen Booking.com-App stattfindet oder zur Eingabe von sensiblen Daten auffordert, mit äußerster Skepsis zu behandeln. Insbesondere die Warnung vor WhatsApp-Nachrichten oder unüblichen Banküberweisungen legt nahe, dass die Täter versuchen könnten, die Vertrauensbeziehung zwischen Hotel und Gast für kriminelle Zwecke auszunutzen.
