Datenleck bei Booking, Kunden in Deutschland betroffen
Das Buchungsportal Booking ist Ziel eines Hackerangriffs geworden. Kunden in Deutschland werden derzeit per E-Mail über einen unbefugten Zugriff auf ihre Buchungsdaten informiert. Booking versichert, Zahlungsdaten seien nicht betroffen. Doch über Ausmaß und Ursache des Vorfalls schweigt das Unternehmen.
iStock / tupungatu
Booking bestätigt den unbefugten Zugriff auf Buchungsdaten seiner Kunden
Booking hat nach eigenen Angaben "verdächtige Aktivitäten" festgestellt, bei denen unbefugte Dritte Zugriff auf Buchungsinformationen von Gästen erlangten. Das geht aus einem Schreiben hervor, das der Konzern an betroffene Kunden in Deutschland versandte, sowie aus einer Stellungnahme der Pressestelle gegenüber Hotel vor9. Demnach habe man "umgehend Maßnahmen ergriffen, um das Problem einzudämmen", die PIN-Nummern betroffener Reservierungen aktualisiert und die Gäste informiert.
Laut dem Kundenschreiben könnten zu den abgerufenen Daten unter anderem Buchungsdetails, Namen, E-Mail-Adressen, Postanschriften, Telefonnummern sowie alle weiteren Informationen gehören, die Gäste der jeweiligen Unterkunft mitgeteilt hatten. Das Unternehmen rät Betroffenen, bei verdächtigen E-Mails oder Anrufen zunächst Rücksprache mit Booking zu halten, bevor sie auf Links klicken.
Unternehmen macht widersprüchliche Angaben zu Postanschriften
Auffällig ist eine Diskrepanz zwischen dem Kundenschreiben von Booking und der offiziellen Stellungnahme der Pressestelle. Während das direkt an Betroffene versandte Schreiben Postanschriften ausdrücklich als potenziell kompromittierte Datenkategorie auflistet, dementiert eine Sprecherin von Booking dies in ihrer Antwort: "Bitte beachten Sie, dass Postanschriften von Kunden NICHT betroffen sind." Es sei möglicherweise auf E-Mail-Adressen zugegriffen worden, die mit Buchungen in Zusammenhang stehen, nicht jedoch auf Postanschriften.
Booking betont, dass keine Zahlungsdaten aus den eigenen Systemen abgerufen worden seien. Gleichzeitig warnt das Unternehmen seine Gäste eindringlich vor Phishing-Versuchen: Man werde Kunden niemals auffordern, Kreditkartendaten per E-Mail, Telefon, Whatsapp oder SMS weiterzugeben oder eine Banküberweisung zu tätigen, die von den Zahlungsbedingungen in der Buchungsbestätigung abweiche.
Booking lässt eine Reihe von zentralen Fragen unbeantwortet
Trotz gezielter Nachfrage ließ das Unternehmen mehrere wesentliche Fragen offen. So äußerte sich das Unternehmen gegenüber Hotel vor9 weder dazu, wie viele Kunden in Deutschland von dem Vorfall betroffen sind, noch dazu, welche konkreten Systeme oder Schnittstellen kompromittiert wurden. Und auch ob der Angriff die Plattform selbst traf oder über angebundene Unterkunftspartner erfolgte, wurde nicht beantwortet ebenso wie der genaue Zeitpunkt, zu dem der Vorfall festgestellt wurde.
Auch die datenschutzrechtliche Einordnung des Vorfalls vermeidet Booking. Auf die Frage, ob es sich um einen bestätigten Datenschutzvorfall im Sinne der DSGVO handelt, weicht die Pressestelle aus. Man arbeite "mit den zuständigen Datenschutzbehörden im Einklang mit den geltenden Datenschutzgesetzen" zusammen. Welche Behörden konkret involviert sind und wann diese informiert wurden, teilte das Unternehmen nicht mit.
Pascal Brückmann