Thought Leadership
Die Krise beim Reise-Giganten Booking Holdings spitzt sich zu. Nur eine Woche nach der Bestätigung des Datenlecks bei Booking.com ist nun die asiatische Tochterplattform Agoda ins Visier von Cyberkriminellen geraten.
Update vom 22.04.2026:
Während die Aufräumarbeiten und die juristische Aufarbeitung des Sicherheitsvorfalls bei Booking.com noch in vollem Gange sind, meldet sich ein Bedrohungsakteur in einem bekannten Hacker-Forum zu Wort und behauptet, die Datenbanken des Schwesterunternehmens Agoda kompromittiert zu haben. Agoda, ein Schwergewicht im asiatischen Reisemarkt und ein hundertprozentiges Tochterunternehmen der 160 Milliarden US-Dollar schweren Booking Holdings, scheint damit zum zweiten Opfer innerhalb nur einer Woche geworden zu sein, berichtet Cybernews.
Gehackte Daten: Verbindung zu Malaysia
Sicherheitsforscher haben erste Stichproben der zum Verkauf stehenden Daten analysiert. Die Proben enthalten sensible Informationen von Gästen, die überwiegend eine Verbindung zu Malaysia aufweisen. Zu den exponierten Datenfeldern gehören vollständige Namen, E-Mail-Adressen, Telefonnummern sowie die Adressen der gebuchten Hotels. Ein besorgniserregendes Detail ist das Auftauchen der malaysischen Identitätskartennummern (IC-Nummern).
Die Experten bestätigen nach einer ersten forensischen Prüfung, dass die Daten authentisch wirken und das Format den Behauptungen der Hacker entspricht. Ein ungewöhnlicher Umstand wurde jedoch ebenfalls festgestellt: In den vorliegenden Mustern fehlen die Aufenthaltsdaten (Check-in/Check-out). Da diese Informationen normalerweise ein integraler Bestandteil jeder Buchungsbestätigung sind, bleibt unklar, ob der Angreifer nur selektive Teile der Datenbank extrahieren konnte oder ob die restlichen Informationen in den noch nicht veröffentlichten Teilen der 82 Millionen Datensätze enthalten sind.
Direkte Verbindung zur Datenpanne bei Booking.com?
Die zeitliche Nähe zum Booking.com-Hack vom 13. April 2026 wirft Fragen zur Sicherheitsarchitektur der gesamten Holding auf. Booking Holdings verarbeitet jährlich über 1,2 Milliarden Übernachtungen über Plattformen wie Booking.com, Agoda, Priceline und Kayak. Dass zwei große Marken desselben Konzerns innerhalb von sieben Tagen von Datenabflüssen betroffen sind, lässt Experten über eine systemische Verwundbarkeit innerhalb der geteilten Infrastruktur oder bei gemeinsamen Dienstleistern spekulieren.
Bisher ist nicht bestätigt, ob eine direkte technische Verbindung zwischen den beiden Vorfällen besteht. Fakt ist jedoch, dass die kriminelle Energie im Reisesektor derzeit einen neuen Höhepunkt erreicht. Der ursprüngliche Booking.com-Hack hat bereits eine weltweite Welle von „Reservation Hijacking“-Betrugsmaschen ausgelöst, bei denen Kriminelle mit echten Buchungsdaten direkt über die Chat-Funktionen der Apps Kontakt zu den Reisenden aufnehmen, um Kreditkartendaten abzugreifen.
Identitätsnummern stellen dauerhafte Gefahr dar
Die Exfiltration der malaysischen IC-Nummern stellt eine besondere Gefahr dar. Im Gegensatz zu Passwörtern oder Kreditkarteninformationen sind nationale Identitätsnummern permanent. Sie fungieren als unveränderlicher Schlüssel zur digitalen und physischen Identität eines Bürgers. Einmal im Darknet im Umlauf, können diese Daten über Jahre hinweg für Cross-Referencing genutzt werden. Angreifer reichern ihre Profile mit jeder neuen Leak-Quelle an, was zukünftige Phishing-Attacken und Social-Engineering-Versuche immer präziser und gefährlicher macht.
Malaysia ist bereits in der Vergangenheit Opfer umfangreicher Datenlecks geworden, was die Bürger nun doppelt verwundbar macht. Wenn Identitätsdaten aus verschiedenen Quellen kombiniert werden, können Kriminelle nahezu lückenlose Biografien erstellen, um Bankkonten zu eröffnen oder offizielle Dokumente zu fälschen.
Booking Holdings hat sich zu dem Agoda-Vorfall bisher nicht offiziell geäußert. Für Nutzer der Plattform bedeutet dies: Erhöhte Wachsamkeit bei jeglicher Kommunikation, die scheinbar von Reiseanbietern kommt.
Ursprüngliche Meldung: Datenpanne bei Booking.com: Hacker greifen Reiseinformationen von Kunden ab
Reisen ist Vertrauenssache – doch genau dieses Vertrauen steht bei Kunden der weltweit führenden Reiseplattform Booking.com derzeit auf dem Prüfstand. Das Unternehmen mit Hauptsitz in Amsterdam sah sich gezwungen, eine Sicherheitswarnung herauszugeben, nachdem ein unbefugter Zugriff auf sensible Reservierungsdaten festgestellt wurde.
Art des Cyberangriff unbekannt
Nach offiziellen Angaben des Unternehmens gelang es einem nicht autorisierten Dritten, Informationen einzusehen, die unmittelbar mit den Reisebuchungen der Gäste verknüpft sind. In den Benachrichtigungen, die bereits zahlreiche Kunden erreicht haben, wird spezifiziert, welche Daten potenziell in fremde Hände gelangt sind: Es handelt sich um Namen, E-Mail-Adressen und Telefonnummern sowie spezifische Details, welche die Gäste im Rahmen ihrer Reservierung mit den jeweiligen Unterkünften geteilt haben. Dies könnte beispielsweise Ankunftszeiten, Sonderwünsche oder die Anzahl der reisenden Personen umfassen.
Gegenüber SecurityWeek sagte Booking.com: Es handele sich nicht um einen klassischen Einbruch in die individuellen Kundenkonten. Die Accounts selbst seien nach derzeitigem Kenntnisstand nicht kompromittiert worden. Dennoch bleibt eine entscheidende Frage vorerst unbeantwortet: Die Plattform gab bisher keine Auskunft darüber, wie viele Kunden genau von diesem Sicherheitsvorfall betroffen sind. Auch die technische Natur des Zugriffs bleibt im Dunkeln. Es ist unklar, ob eine direkte Schwachstelle in den Systemen von Booking.com ausgenutzt wurde oder ob die Täter über andere Wege, etwa durch kompromittierte Schnittstellen zu den angeschlossenen Hotels, an die Informationen gelangten.
„Wir haben schnell gehandelt und das Problem vollständig eingegrenzt. Wir haben die PIN-Nummern für diese Reservierungen aktualisiert und unsere Kunden entsprechend informiert. Während auf keine Finanz- oder Zahlungsinformationen zugegriffen wurde, erinnern wir unsere Kunden auch daran, gegenüber potenziellen Phishing-Angriffen wachsam zu bleiben, und betonen, dass Booking.com niemals per E-Mail, Telefon, WhatsApp oder Textnachricht nach Kreditkartendetails fragen wird oder sie auffordert, eine Banküberweisung zu tätigen, die von den Zahlungsdetails in ihrer Buchungsbestätigung abweicht.“
Ein Sprecher von Booking.com
Nach Datenpanne bei Booking.com: Betrugsnachrichten möglich
Das Hauptrisiko für die Betroffenen verschiebt sich damit von einem direkten finanziellen Diebstahl hin zu einer erhöhten Gefahr durch Social Engineering. Da die Angreifer nun über reale Buchungsdaten verfügen, können sie extrem glaubwürdige Betrugsnachrichten verfassen. Wenn ein Hacker weiß, wann ein Gast in welchem Hotel eincheckt, kann er eine täuschend echte Nachricht simulieren, die beispielsweise eine „dringende Bestätigung der Kreditkarte“ fordert, um die Buchung nicht zu stornieren.
Dass Booking.com vorsorglich die PIN-Nummern der betroffenen Reservierungen geändert hat, unterstreicht den Ernst der Lage. Diese PINs dienen oft als Sicherheitsanker für Änderungen an der Buchung. Nutzer sind nun aufgefordert, jede Form der Kommunikation, die außerhalb der offiziellen Booking.com-App stattfindet oder zur Eingabe von sensiblen Daten auffordert, mit äußerster Skepsis zu behandeln. Insbesondere die Warnung vor WhatsApp-Nachrichten oder unüblichen Banküberweisungen legt nahe, dass die Täter versuchen könnten, die Vertrauensbeziehung zwischen Hotel und Gast für kriminelle Zwecke auszunutzen.
