Kategorie: Hackerangriffe
9. September 2022
Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.
Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.
Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.
12. August 2022
Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.
Angriff mit geringem Aufwand durchführbar
Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.
Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen. Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.
Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.
Risiko den Behörden bekannt
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.
In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.
Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.
Alternative seit 10 Jahren vorhanden
Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.
22. Juli 2022
Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.
Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.
Was ist Datenhandel und wie weit ist er verbreitet?
Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.
In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden.
Was hat Datenhandel mit dieser Debatte zu tun?
Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.
Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.
Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?
Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.
Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.
3. Juni 2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.
Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.
Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.
Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.
8. April 2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.
Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.
„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.
Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.
Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).
Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.
4. März 2022
Der US-amerikanische Hardware-Hersteller Nvidia scheint Opfer einer Cyber-Attacke geworden zu sein. Ein Sprecher von Nvidia bestätigte den Angriff. Man gehe momentan nicht davon aus, dass ein Zusammenhang zum Ukraine-Konflikt bestünde.
Hinter dem Angriff steckt wohl die südamerikanische Ransomware-Gruppe „Lapsus$“. Diese war in den letzten Monaten für mehrere Cyber-Angriffe verantwortlich, u.a. auch für den auf den größten portugiesischen Medienkonzern Impresa. Die Gruppe gibt an, von Nvidia rund 1 TB an Daten erlangt zu haben. Erste Daten, darunter Anmeldedaten von Mitarbeitern, wurden im Netz veröffentlicht. „Lapsus$“ verlangt von Nvidia, eine bestimmte Limitierung an von ihnen hergestellten Grafikkarten (betreffend das Schürfen von Kryptowährung) zu entfernen. Sollte Nvidia dem nicht nachkommen, sollen weitere interne Daten veröffentlicht werden.
Weiterhin veröffentlichte die Gruppe eine Stellungnahme, in der sie berichteten, Nvidia habe ihren Angriff direkt zurück verfolgen können und die dort gefundenen Daten verschlüsselt. Jedoch habe man die Daten vor der Verschlüsselung bereits kopieren können.
Nvidia arbeitet momentan daran, die Details des Angriffs zu untersuchen. Ransomware (ein Schadprogramm, das als Erpressungssoftware benutzt wird) wurde laut eigenen Angaben bei Nvidia bisher nicht entdeckt.
24. Januar 2022
Das Internationale Komitee vom Roten Kreuz (IKRK) veröffentlichte am 19.01.2022 die Meldung, Opfer eines Cyberangriffs geworden zu sein. Der Angriff erfolgte auf personenbezogene Daten und vertrauliche Informationen von über 515.000 Personen. Zu den betroffenen Daten zählen Namen, Standort und Kontaktinformationen. Sie stammen von insgesamt mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften weltweit. Das IKRK geht davon aus, dass diese Daten kopiert und exportiert wurden.
Besonders brisant ist der Angriff, weil die erbeuteten Daten von „Menschen, die aufgrund von Konflikten, Migration und Naturkatastrophen von ihren Familien getrennt wurden, vermisste[n] Personen und deren Familien sowie inhaftierte[n] Personen“, also besonders schutzbedürftigen Menschen stammen. Entsprechend besorgt ist das IKRK darüber, was dieser Angriff für Folgen haben kann. Robert Mardini, Generaldirektor des IKRK, äußerte sich dazu entsprechend: „Dieser Cyberangriff gefährdet die Menschen, die bereits auf humanitäre Hilfe angewiesen sind, umso mehr.“
Nach aktuellen Äußerungen geht das IKRK von einem gezielten Angriff aus. Veröffentlicht wurden die gehackten Daten bisher nicht. Ob Daten verändert wurden, lässt das IKRK nun prüfen, die betroffenen Server wurden offline genommen. Davon direkt betroffen ist ein Programm zur Zusammenführung getrennter Familien („Restoring Family Links“), welches jetzt ohne dieses System fortgesetzt werden muss. Wer für den Angriff verantwortlich ist, ist zum jetzigen Zeitpunkt unklar.
Bereits im August letzten Jahres wurde befürchtet, die Taliban könnte in Afghanistan Zugriff auf Daten von Hilfsorganisationen erlangt haben. Von Hilfsorganisationen gespeicherte, personenbezogene Daten sind besonders empfindlich, da sie meist von Schutzbedürftigen stammen. Sollten solche Daten veröffentlicht werden, kann das für die Betroffenen im schlimmsten Fall lebensgefährlich sein. So wird immer wieder ersichtlich, wie unverzichtbar der Datenschutz auch für humanitäre Hilfsarbeit ist.
3. Januar 2022
Der größte Medienkonzern Portugals, Impresa, wurde über die Neujahrstage Opfer eines Ransomware-Angriffs. Betroffen sind die Kanäle des landesweit größten Fernsehsenders SIC, sowie Portugals Wochenzeitung Expresso. Konkret handel es sich dabei um die Webseiten und Streaming-Services, das Fernsehprogramm von SIC funktioniert ungestört. Auch einige Accounts auf sozialen Medien sind von dem Angriff nicht betroffen, sodass Impresa momentan über den Facebook-Account von Expresso kommuniziert. Der Twitter-Account von Expresso scheint hingegen ebenfalls betroffen zu sein.
Laut The Record steckt hinter dem Angriff eine Gruppe namens „Lapsus$“. Zwischenzeitlich seien von der Gruppe auch Nachrichten und Lösegeldforderungen auf den Seiten von Impresa veröffentlicht worden. Die Gruppe selbst äußerte sich, sie habe kurzzeitig Zugriff auf den AWS-Account von Impresa gehabt. Bei dem Angriff wurde außerdem von der E-Mail-Adresse der Zeitschrift Expresso aus, eine Nachricht an Abonnentinnen und Abonnenten verschickt, in der es u.a. hieß, der Präsident Portugals sei seinem Amt enthoben worden. Diese Nachricht wurde in sozialen Medien bereits als Falschmeldung gekennzeichnet.
Bei diesem Vorfall handelt es sich um einen der größten IT-Sicherheitsvorfälle in der Geschichte Portugals. Um welche Ransomware es sich handelt, ist bisher nicht bekannt.
Die „Lapsus$“-Gruppe hatte erst Mitte Dezember das Gesundheitsministerium Brasiliens angegriffen. Bei diesem Angriff erbeuteten sie nach eigenen Aussagen 50 Terrabyte Daten. Durch den Ausfall der Seiten des Gesundheitsministeriums war für Brasilianer u.a. zeitweise kein Zugriff mehr auf ihre digitalen Impfzertifikate möglich.
14. Dezember 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‚Warnstufe Rot‘ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen „Log4Shell“ trägt.
Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.
Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.
Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.
Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.
12. November 2021
In dem am Donnerstag erschienenen Buch „Die Maschine: Im Bann der Booking.com“ von drei Journalisten der niederländischen nationalen Zeitung NRC, berichten diese von einem Hackerangriff, der 2016 die Server von Booking.com durchbrochen und Benutzerdaten im Zusammenhang mit dem Nahen Osten gestohlen hat.
Die Personen hinter dem Hackerangriff hatten auf Tausende von Hotelreservierungen Zugriff. Hierbei sind vor allem die Länder des Nahen Ostens wie Saudi-Arabien, Katar und die Vereinigten Arabischen Emirate betroffen gewesen. Ferner heißt es, dass unter den offengelegten Daten auch Namen von Booking.com Kunden und deren Reisepläne veröffentlich wurden. Der bei Booking.com interne Name für diesen Verstoß war das „PIN-Leck“, weil der Verstoß auch gestohlene PINs aus Reservierungen beinhaltete. Zwei Monate nach diesem Verstoß bekam Booking.com bei der Suche nach dem Hacker Unterstützung von US-Privatdetektiven. Hierbei stellten sie fest, dass es sich bei dem Hacker um einen Amerikaner handelte, der für ein Unternehmen arbeitete, das Aufträge von US-Geheimdiensten ausführte. Die Autoren haben bis jetzt nicht feststellen können, welche Agentur hinter dem Angriff steckte.
Der Vertreter von Booking.com äußerte sich zu diesem Geschehen. Booking.com sah sich nicht in der Pflicht, diesen Verstoß offenzulegen und zu melden. Es lagen nämlich keine Beweise für „tatsächlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen“ vor. Die in Amsterdam ansässige Booking.com traf diese Entscheidung, nachdem sie den niederländischen Geheimdienst AIVD angerufen hatte, um diese Datenschutzverletzung zu untersuchen. Auf Anraten eines Rechtsberaters hat das Unternehmen die betroffenen Kunden und die niederländische Datenschutzbehörde daraufhin nicht benachrichtigt. Die Begründung: Booking.com war gesetzlich nicht dazu verpflichtet, weil keine sensiblen oder finanziellen Informationen abgerufen wurden.
Im April wurde Booking.com von den niederländischen Datenschutzbehörden mit einer Geldstrafe von 475.000 Euro belegt, da Booking.com eine separate Datenschutzverletzung gemäß der DSGVO verspätet gemeldet hatte. Bei diesem Verstoß wurden mehr als 4.000 Booking.com Kunden von Cyberkriminellen auf ihre Namen, Adressen, Telefonnummern und Buchungsdetails zugegriffen. Weitere 300 Personen hatten auch Kreditkarteninformationen gestohlen, einschließlich des CVV-Codes in fast 100 Fällen.
