Hotelwebsite laat klantendata onbeschermd online staan
Wat zijn zowat je grootste zorgen als je op vakantie gaat? Het zoeken naar de beste prijzen, op tijd op de luchthaven geraken, niets vergeten tijdens het inpakken… Waar je waarschijnlijk minder rekening mee houdt (of hoopt mee te moeten houden) is dat de website waar je je hotel geboekt je persoonlijke gegevens zomaar online laat rondslingeren.
Dat is exact wat het Franse AccorHotel overkwam. AccorHotel is één van de grootste spelers op de online horecamarkt. Het werkt samen met meer dan 5000 hotels die zich voornamelijk in het luxesegment bevinden, om mensen die via de website een kamer boeken een mooie prijs aan te bieden. Maar wat er na het moment van betalen gebeurt, is veel minder fraai. Twee onderzoekers van het Israëlische cybersecuritybedrijf VPNMentor ontdekte op een onbeveiligde server een databank met persoonlijke gegevens van klanten. Namen, adressen, contactgegevens tot zelfs kredietkaartgegevens en wachtwoorden werden zomaar blootgesteld. De onderzoekers vonden gegevens van maar liefst 140.000 klanten, gaande van individuen tot bedrijven.
Gekko
De hoofdschuldige is niet AccorHotel zelf, maar het Duitse bedrijf Gekko Group dat de databank beheerde. Gekko Group is een dochteronderneming van AccorHotel dat boekingen via hotelwebsites beheert. Ze werken ook onder andere samen met Booking.com waardoor ze volgens hun website tot 600.000 hotels in hun klantenbestand hebben zitten. Volgens de onderzoekers die het lek vaststelden zouden ook klantgegevens van gebruikers van booking.com in het bestand zitten. Volgens hen zijn mensen uit verschillende Europese landen getroffen door het datalek. Tussen het lijstje landen werd ook België genoemd, al kunnen we je niet meedelen hoeveel Belgen exact betrokken zijn geraakt in het schandaal.
Gekko Group reageerde aan CNET dat het de databank ondertussen beveiligd heeft en dat er naar hun weten geen misbruik is gemaakt van de gegevens. Maar of dat daadwerkelijk zo is, zal in de komende weken wellicht pas echt blijken. Ze willen ook iedereen die in het bestand zat daar persoonlijk van op de hoogte brengen.
Slecht geslapen?
Het is verre van het eerste voorval van een datalek binnen de horecasector. Het beheer van databanken verloopt al sinds enkele jaren in veel industrieën op cloudservers. Maar datgaat in de horeca blijkbaar nog niet zo vlot. Cloudservers zijn in principe veilig maar gebruikers weten vaak onvoldoende hoe er mee om te springen. Vaak gaan bedrijven er vanuit dat hun leverancier ook instaat voor de veiligheid, maar dat is bij de meeste helemaal niet zo. Een maand geleden nog werd de database van het Amerikaanse AutoClerck gehackt. Daardoor kwam onder andere geheime reisinformatie over hooggeplaatste Amerikaanse officieren en overheidsambtenaren aan de oppervlakte. Andere grote hotelketens als Marriott, Radison en Hilton hebben ook al te maken gekregen met datalekken.