Fitnessketen Basic-Fit en boekingwebsite Booking.com kondigen beiden een datalek aan. Bij Basic-Fit gaat het om minstens een miljoen klanten die getroffen zijn.
Twee datalekken voor de prijs van één. Zowel Basic-Fit als Booking.com lieten gisteren weten dat ze het ongewenste bezoek van hackers hebben gekregen.
In een publieke mededeling kondigt Basic-Fit maandagochtend aan ‘ongeautoriseerde toegang’ tot het systeem dat de bezoeken van leden registreert, te hebben vastgesteld. De indringer(s) zou na enkele minuten weer zijn buiten gewerkt, maar dat kon niet verhinderen dat persoonlijke gegevens van klanten werden gedownload. Betrokken klanten zijn per mail op de hoogte gesteld (zie hieronder).
Een miljoen getroffen klanten
Basic-Fit deelt mee dat 200.000 leden in Nederland getroffen zijn door het datalek. De van oorsprong Nederlandse fitnessketen heeft ook clubs in België, Frankrijk, Luxemburg, Duitsland en Spanje. In een reactie aan ITdaily zegt het bedrijf bewust geen informatie over het aantal betrokken klanten per land mee te delen, al zou het in totaal om ongeveer een miljoen klanten gaan. Dat is ongeveer één op vijf van het totale klantenbestand.
Uit het eerste onderzoek is gebleken dat de volgende gegevens van klanten gelekt kunnen zijn:
- E-mailadres
- Voor- en achternaam
- Adres en woonplaats
- Telefoonnummer
- Bankrekeningnummer
- Rekeninghouder
- Geboortedatum
- Lidmaatschapsinformatie
Wachtwoorden van Basic-Fit-accounts zijn buiten schot gebleven. Hoewel klanten dus niet hoeven te vrezen dat hun account gehackt zal worden, ligt er dus heel wat persoonlijke informatie op straat. Cybercriminelen krijgen die gegevens graag in handen om gepersonaliseerde phishingmails te kunnen opstellen. Basic-Fit verzoekt klanten om daar extra waakzaam voor te zijn.
Of de gelekte gegevens al gepubliceerd zijn op het dark web en of de dader(s) losgeld eisen van Basic-Fit is niet geweten. De fitnessketen zegt het incident te hebben gemeld bij de Nederlandse Autoriteit Persoonsgegevens.
Datalek Booking.com
Ook wie recent een hotelovernachting geboekt heeft bij Booking.com, heeft mogelijk prijs. Booking.com heeft zondagavond klanten met een mail op de hoogte gesteld van een beveiligingsincident. Naast boekingsinformatie zouden ook namen, e-mailadressen, telefoonnummers en fysieke adressen zichtbaar zijn geweest voor onbevoegden.
“Onlangs hebben we verdachte activiteiten geconstateerd waarbij onbevoegde derden toegang hebben gekregen tot de boekingsgegevens van sommige van onze gasten. Zodra we deze activiteiten ontdekten, hebben we maatregelen genomen om het probleem in te dammen. We hebben de pincode voor deze reserveringen aangepast en onze gasten hierover geïnformeerd. We kunnen bevestigen dat er geen financiële gegevens zijn buitgemaakt uit de systemen van Booking.com”, zegt het bedrijf in een reactie aan ITdaily.
Voor wie getroffen is door één van deze datalekken, of als je veel pech hebt beiden, geldt hetzelfde advies: wees extra waakzaam voor verdachte e-mails die van Basic-Fit of Booking.com afkomstig lijken te zijn.
Voor Booking.com is dit incident geen primeur. Het bedrijf kreeg een boete van bijna een miljoen euro na een incident in 2018 dat het veel te laat had gemeld. Dit jaar namen hackers de chatfunctie van de website over om hotelgasten in de val te lokken.
Nederlandse beveiligingsdebacles
Er is op dit moment geen enkele reden om aan te nemen dat de incidenten met Basic-Fit en Booking.com aan elkaar gelinkt zijn. Maar er is wel een gemeenschappelijke factor: beide bedrijven hebben hun hoofdkantoor in Nederland. De Nederlandse overheid heeft zelf recent meermaals getoond geen goed voorbeeld te zijn als het aankomt op cyberbeveiliging.
Vorige maand kondigde het ministerie van Financiën aan hackers over de vloer te hebben gekregen. Bij Justitie gaat het al langer mis. De vaste ICT-partner van het ministerie werd sinds afgelopen zomer tweemaal gehackt.
Dit artikel verscheen origineel op 13 april en werd opnieuw gepubliceerd met een reactie van Booking.com.