Booking.com kažnjen zbog toga što je više od 3 nedelje ćutao o krađi podataka korisnika

Vesti, 02.04.2021, 11:00 AM

Holandska agencija za zaštitu podataka kaznila je Booking.com sa 475.000 evra zato što je prekasno obavestio korisnike da su kriminalci pristupili podacima 4.109 ljudi koji su rezervisali hotelski smeštaj preko veb sajta.

Autoriteit Persoonsgegevens (AP) je rekla da su kriminalci uspeli da izvuku podatke za prijavljivanje na Booking.com naloge od zaposlenih u 40 hotela u Ujedinjenim Arapskim Emiratima koristeći tehnike socijalnog inženjeringa.

Zatim su dobili pristup podacima, uključujući imena korisnika, adrese, brojeve telefona i detalje o njihovoj rezervaciji. Kriminalci su takođe pristupili podacima o kreditnim karticama 283 osobe, uključujući i sigurnosni kod kreditnih kartica u 97 slučajeva. Pored toga, pokušali su da pribave podatke o kreditnim karticama drugih žrtava predstavljajući se kao zaposleni u Booking.com putem e-maila ili telefona.

Booking.com je rekao da nije došlo do upada u njegove „interne sisteme (nisu ugroženi ni kod ni baze podataka platforme Booking.com)“, dodajući da je reč o izolovanom incidentu koji je uticao na 40 hotela u UAE gde su partneri sajta kriminalcima dali podatke za prijavljivanje na Booking.com naloge.

Konkretno, prema izveštaju AP-a “nepoznata treća strana je dobila pristup Booking.com Extranetu, gde se partneri sajta prijavljuju da bi pribavili potrebne detalje o rezervaciji gostiju“.

AP je dodala da podaci koji su se čuvali u Extranetu uključuju imena, prezimena, adrese, brojeve telefona, datume prijavljivanja i odjave, ukupnu cenu, brojeve rezervacija, celokupnu prepisku između hotela i gostiju i za 283 korisnika usluga i detalje o njihovim platnim karticama.

Bookingu je izrečena novčana kazna u iznosu od 475.000 eura zbog kasne prijave incidenta. AP je rekla da je kompanija obaveštena o curenju podataka 13. januara 2019. godine, ali da to nije prijavila nadzornom organu do 7. februara.

Prema članu 33 Evropske opšte uredbe o zaštiti podataka, kompanije su obavezne da prijave „curenje podataka“ u roku od 72 sata.

Sami kupci obavešteni su tek 4. februara 2019. godine. Međutim, agencija za zaštitu podataka je rekla da je Booking ipak preduzeo i druge mere kako bi smanjio štetu, uključujući ponudu za nadoknadu štete kupcima koji su ostali bez novca.

Booking.com je rekao da od tog incidenta “sprovode mere za podizanje svesti i edukovanje partnera i zaposlenih”, sa ciljem dalje “optimizacije brzine i efikasnosti internih kanala izveštavanja”.

Sedište Bookinga je u Amsterdamu, otuda i presuda holandskog tela za zaštitu podataka. Međutim, AP je rekla da je sarađivala sa drugim evropskim regulatornim organima za zaštitu privatnosti, i da je reč o “međunarodnoj istrazi”.