Американский шпион взломал Booking.com, но компания ничего не сообщила клиентам
Как сообщает нидерландское издание NRC Handelsblad, в 2016 году хакер взломал систему Booking.com и украл данные тысяч пользователей, бронировавших отели в странах Ближнего Востока. IT-специалисты сервиса установили, что злоумышленник связан с американской разведкой. Сам сервис в ходе расследования обратился за помощью к нидерландской Служба общей разведки и безопасности (AIVD), но не уведомил о об утечке данных ни своих клиентов, ни Нидерландское управление по защите данных.
Информацию о взломе NRC Handelsblad взяло из книги De Machine: In de ban van Booking.com (на английском — The Machine: Under the Spell of Booking.com). В ней содержатся данные, полученные от бывших специалистов службы безопасности сервиса. Написана книга тремя журналистами нидерландского издания.
Информация о возможном факте шпионажа со стороны американских спецслужб просочилась ещё в 2013 году. Предположительно, американцы отслеживали передвижения дипломатов и устанавливали подслушивающие устройства в их номерах. Кроме того, разоблачитель Эдвард Сноуден сообщал о наличии у британской разведки программы Royal Concierge для такого же отслеживания путешествия дипломатов. Конкретных наименований подключенных к программе сайтов он не указал, но было бы странно, если бы там не было такого крупного сервиса, как Booking.com.
В 2016 году специалист службы безопасности Booking.com в Амстердаме случайно обнаружил, что неизвестное лицо получило доступ к системам бронирования через «плохо защищенный сервер». Хакер получил доступ к тысячам бронирований отелей в странах Ближнего Востока, таких как Саудовская Аравия, Катар и Объединенные Арабские Эмираты. Например, были украдены имена клиентов бронирования и их планы поездок. Инцидент получил название PIN-leak из-за украденных пин-кодов бронирований.
Спустя два месяца расследования специалисты сервиса установили, что за взломом стоит американец, названный «Эндрю». Он работал в компании, выполняющей заказы американских спецслужб. Наименования организации, её расположение и другой фактической информации NRC Handelsblad не указало. Издание лишь отметило, что это одна из 18 подобных организаций, находящихся в США.
Пресс-секретарь Booking.com подтвердил изданию, что в 2016 году была обнаружена необычная активность. По его словам, специалисты сразу занялись её расследованием и по итогу «не нашли доказательств фактического неблагоприятного воздействия этой активности на частную жизнь отдельных лиц». Поэтому сервис решил не сообщать о потенциальном риске клиентам и в Нидерландское управление по защите данных. Кроме того, на тот момент не было юридической необходимости сообщать властям о подобных случаях.
В апреле этого года Нидерландское управление по защите данных уже штрафовало Booking.com за слишком позднее уведомление о том, что хакеры получили доступ к бронированиям 4109 человек. Злоумышленникам удалось получить учётные данные для входа в аккаунты сотрудников 40 отелей в Объединенных Арабских Эмиратах, через которые они получили имена пользователей, адреса, номера телефонов и подробную информацию об их бронированиях. Сервис заявил, что вторжения в их системы не было. Тем не менее, утечка данных произошла 13 января 2019 года. Booking.com сообщил о ней только 7 февраля.