Nederlands wellnesscentrum waarschuwt gasten voor gerichte phishing via WhatsApp

Het Nederlandse wellnesscentrum Thermae 2000 in het Limburgse Valkenburg waarschuwt gasten dat WhatsApp-berichten over hun check-ins niet van het bedrijf komen. Kwaadwillenden sturen phishingberichten aan mensen met details over hun reserveringen bij Thermae 2000.

Ontvangers van zo'n WhatsApp-bericht die vervolgens contact opnemen met Thermae 2000 krijgen per mail te horen dat het bedrijf de zaak onderzoekt. Daarbij stelt het wellnesscentrum dat 'er geen aanwijzingen zijn dat er betaalgegevens zijn bemachtigd'. Het zou gaan om een combinatie van naam, adres en woonplaats, telefoonnummer en e-mailadres.

De phishingberichten leiden volgens een tip die Tweakers kreeg naar een site met daar het exacte factuurbedrag voor een bezoek aan Thermae 2000 dat de klant al had betaald. Dit lijkt erop te wijzen dat in ieder geval factuurinformatie in verkeerde handen is gevallen.

Onbevoegde toegang

In de mail geeft het bedrijf aan dat onbevoegden 'mogelijk toegang hebben gehad tot een bestand waardoor mogelijk NAW- en e-mailgegevens van een deel van onze gasten zijn ingezien'. Thermae 2000 ontdekte deze digitale inbraak afgelopen zaterdag. "Wij zijn hiervan op de hoogte geraakt nadat gasten bij ons meldden dat zij vreemde WhatsApp-berichten ontvingen die leken te zijn verzonden namens Thermae 2000", aldus de mail aan klanten.

"Deze WhatsApp-berichten zijn niet van ons", verklaart Thermae 2000 aan De Limburger. Het wellnesscentrum stelt dat het niet via WhatsApp communiceert. Thermae 2000 drukt getroffen gasten op het hart om vooral niet te reageren op de berichten van de zogenaamde 'check-in manager'. Het wellnesscentrum in Valkenburg stelt dat het direct maatregelen heeft genomen 'om het incident te stoppen'. Daarnaast heeft het extra beveiliging doorgevoerd voor zijn computersystemen en is het een onderzoek gestart naar de toedracht. Tweakers heeft vragen gesteld aan Thermae 2000 over deze datadiefstal.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 12-01-2026 16:37
26 • submitter: Mark_640

12-01-2026 • 16:37

26

Submitter: Mark_640

Lees meer

Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour Nieuws van 21 januari 2026
OpenAI waarschuwt api-klanten voor phishing na inbraak bij analyticspartner
OpenAI waarschuwt api-klanten voor phishing na inbraak bij analyticspartner Nieuws van 27 november 2025
Belgische politie waarschuwt voor phishing via politiedomein
Belgische politie waarschuwt voor phishing via politiedomein Nieuws van 23 september 2025
Van der Valk-medewerkers slachtoffer phishing, klantdata gebruikt voor fraude
Van der Valk-medewerkers slachtoffer phishing, klantdata gebruikt voor fraude Nieuws van 8 september 2025
Openbaar Ministerie: cybercrime nam af, maar online fraude nam toe - update
Openbaar Ministerie: cybercrime nam af, maar online fraude nam toe - update Nieuws van 12 mei 2025
Meer producten en artikelen
E-commerce Politiek en recht Privacy Cybercrime Cybersecurity Datalek Fraude Oplichter Oplichting Phishing Whatsapp

Reacties (26)

-Moderatie-faq
26
25
15
4
0
8
Wijzig sortering

Sorteer op:

Weergave:
Opperpanter2 12 januari 2026 16:41
Ik heb exact dit gehad bij meerdere boekingen via booking.com. Volgens mij is er ergens in de keten een boekingsysteem of gerelateerd systeem data aan het lekken.
Reageer
marhalm @Opperpanter212 januari 2026 17:02
Booking.com is al jaren zo lek als een mandje. Booking weet dit, maar doet er niets tegen. Niet boeken via die tent!
Reageer
CodeCaster @marhalm12 januari 2026 17:58
Het is niet per se Booking.com dat lek is; het zijn de individuele verhuurders en kleine hotels die overal met hun Hotmail en hetzelfde wachtwoord inloggen.

Dan kunnen kwaadwillenden die gegevens uit een ander datalek bemachtigen inloggen op Booking namens verhuurders, en huurders berichten sturen vanuit het platform van Booking zelf.

Dus dan krijg je een legitiem bericht met kwaadaardige inhoud à la "er is iets misgegaan met je betaling, betaal binnen 24 uur via (schimmige link) anders zien we ons genoodzaakt je boeking te annuleren".

Dat Booking daar al jaren niets aan doet, zelfs niet met de opmars van LLM's, vind ik, naast hun modus operandi in het algemeen, wel een kwalijke zaak.

[Reactie gewijzigd door CodeCaster op 12 januari 2026 18:00]

Reageer
SunnieNL @CodeCaster12 januari 2026 18:04
Yeps, daar komt nog bij dat zelfs bij grotere ketens, de losse hotels vaak maar 1 account aanmaken voor booking.com. Alle medewerkers gebruiken daar dezelfde gebruikersnaam en wachtwoord. Ik vermoed dat dit wel anders kan, maar dat het gemakzucht is. (edit: dit is ook gewoon mogelijk volgens de help van booking.com)

booking.com zou MFA moeten verplichten op alle beheeraccounts. Dat zou al een heel groot deel van die zaken oplossen (ik gok zelf op 90%).

[Reactie gewijzigd door SunnieNL op 12 januari 2026 18:13]

Reageer
Skydream @CodeCaster12 januari 2026 20:18
Mogelijk nog erger is dat kleine aanbieders zoals B&B's (in ieder geval in Italië), kopieën van je paspoort of id-kaart die ze wettelijk moeten maken, per WhatsApp versturen. Maar goed, dit zie je pas als je gearriveerd bent en als je weigert zit je vaak zonder slaapplek.

Bij Booking zelf kun je vaak gewoon direct aan booking betalen, ofwel afrekenen aan de deur. Dan zijn de schimmige praktijken er snel uit te halen.
Reageer
JP1980 @Opperpanter212 januari 2026 17:20
Ze weigeren multi factor authenticatie, omdat dit heel lastig is voor hotels met wisselend personeel en diensten. Om diezelfde reden gebruiken hotels een te makkelijk wachtwoord. Zo komen ze eenvoudig bij de reserveringsdetails van een hotel.
Reageer
SunnieNL @JP198012 januari 2026 18:10
Dat is zo'n drogreden en is zo makkelijk op te lossen:

a) meerdere beheeraccounts (is gewoon mogelijk bij booking.com)

b) een hardware totp token die je deelt op de werkvloer.

c) een wachtwoord management systeem met TOTP die iedereen kan gebruiken (en waar je dan weer losse accounts in maakt voor toegang)


Booking.com zou MFA gewoon moeten verplichten op beheeraccounts.

Hotels die geen MFA gebruiken zouden zonder pardon verantwoordelijk moeten worden gehouden en hun klanten schadeloos moeten stellen.

[Reactie gewijzigd door SunnieNL op 12 januari 2026 18:12]

Reageer
JP1980 @SunnieNL12 januari 2026 19:23
Helemaal mee eens (al wist ik niet van die meerdere beheeraccounts). Probleem is denk ik dat die kleine hotels met personeel begrijpen niks van beveiliging. Toen het mij eens overkwam kreeg ik doodleuk de opmerking dat ik mijn wachtwoord maar voor de zekerheid moest veranderen.
Reageer
Z80 @SunnieNL13 januari 2026 10:55
Je gaat uit van de westerse wereld. Waar dit waarschijnlijk werkt. maar de wereld is een heel stuk groter. landen waar een oude w7 pc als modern gezien wordt. Daar waar internet geen standaard is, en blij mag zijn als het stabiel werkt.

De grote spelers hebben al deze hotels min of meer gedwongen mee te doen op hun site. Booking,trip en als nog grotere ramp agoda. Doe je niet mee dan krijg je geen klanten meer.
Reageer
bloody @Opperpanter212 januari 2026 17:08
Inderdaad.
Heb echt tig keer gebeld met Booking hierover. Je wordt dan gevraagd om een mail te sturen. Vervolgens hoor je hier niets meer van.
Reageer
SunnieNL @bloody12 januari 2026 18:09
Je moet ook niet booking.com bellen daarover, maar het hotel waar je geboekt hebt via booking.com. Die hebben een probleem en het eerste wat dat hotel zou moeten doen is een paswoord reset aanvragen.

Meestal weten de hotels niet eens wat er gebeurd en hoe ze het kunnen stoppen. Die krijgen op dat moment meestal of meerdere telefoontjes waarbij niemand ze ff helpt en ze in totale paniek zijn, of ze hebben geen idee dat dit gebeurd op dat moment.

Ik heb zo'n receptionist al paar keer ff meegenomen in de hele reset (ondanks dat ik niet eens weet waar je moet klikken, maar gewoon aangegeven dat vast onder accounts wel ergens een wachtwoord verandering konden doen) zodat ze in ieder geval even rust te krijgen voor de volgende stappen.

Liefst wil je ook dat je dan in die config kan klikken om alle sessies uit te loggen op dat moment, maar geen idee of booking.com dat aanbiedt in de beheer interface.
Reageer
Wraldpyk @Opperpanter212 januari 2026 17:23
Ik heb ook meermaals legiteme whatsapp berichten en sms-en gehad van hotels die ik geboekt had met Booking. Dat vind ik al vervelend, laat staan phishing berichten.
Reageer
thomas1907 @Opperpanter212 januari 2026 17:40
Ik gebruik tegenwoordig veel https://www.cozycozy.com/. Daar kan je booking e.d. ook uit zetten, en tegelijkertijd erg makkelijk dat je allerlei aanbieders tegelijk ziet.
Reageer
kodak
@Opperpanter212 januari 2026 17:48
Dit soort phishing bestaat al jaren. Dus zomaar stellen dat het gerelateerd is omdat je recent ook zoiets ervaren hebt is te simpel. Het nieuws maakt bijvoorbeeld niet duidelijk waarop het precies kan vergelijken, zoals taalgebruik of gebruikte urls. Natuurlijk sluit dat ook niet uit dat een gezamenlijke dienstverlener onderdeel van het probleem kan zijn. Maar dat kan bijvoorbeeld ook zijn omdat de bedrijven geen 2fa hadden en hun account onafhankelijk van elkaar misbruikt konden worden.
Reageer
StormRider @Opperpanter212 januari 2026 19:49
In het verleden heb ik een heel aantal boekingen geplaatst bij kleinere hotels aan de andere kant van de wereld. Bij aankomst bij hotel lag er een A4 tje klaar met al mijn gegevens. Inclusief alle opgegeven creditcard gegevens. Bij navraag bleek dat dit ze dit ontvangen als borg. Iedereen die bij de balie kwam kon hier potentieel een foto van maken. Al had het op de computer gestaan, die staat altijd aan zonder wachtwoord

Je kan natuurlijk 100 oplossingen bedenken om zoiets te voorkomen maar voor Booking is dit normaal. Ze harken liever verder.

[Reactie gewijzigd door StormRider op 12 januari 2026 19:50]

Reageer
iqcgubon 12 januari 2026 17:20
Is het normaal om uberhaupt via Whatsapp zulke communicatie te ontvangen?
Reageer
laurens0619 @iqcgubon12 januari 2026 17:29
In dit geval liever via whatsapp dan sms/telefonisch ;)

Met een SMS/telefoontje kunnen ze makkelijk het echte nummer spoofen van thermae.
Er zullen vast niet veel mensen dat nummer in het adressenboek hebben staan maar ik denk dat de slagingskans voor aanvallers groter is dan een random 06 via whatsapp

[Reactie gewijzigd door laurens0619 op 12 januari 2026 17:29]

Reageer
Wraldpyk @iqcgubon12 januari 2026 17:24
Er zijn veel partijen die zakelijk WhatsApp gebruiken, dus ja ik zou het niet buitengewoon vinden als ik ergens iets boek dat ik via WhatsApp business een bericht krijg.
Reageer
Bux666 12 januari 2026 16:42
In de mail geeft het bedrijf aan dat onbevoegden 'mogelijk toegang hebben gehad tot een bestand waardoor mogelijk NAW- en e-mailgegevens van een deel van onze gasten zijn ingezien'.
Altijd dat downplayen van een incident. Neem gewoon je verantwoordelijkheid en zeg dat er 100% zeker data is gestolen. Want hoe krijgen die (voormalige) klanten anders een WhatsApp bericht met daarin factuurgegevens? 8)7
Reageer
TechSupreme @Bux66612 januari 2026 16:49
Nou wat ik dan veel erger vind, als je tussen de regels leest zeggen ze:

"Er is een datalek, maar wij hebben geen idee waar, hoe en wanneer".
Reageer
kodak
@Bux66612 januari 2026 17:29
Waaruit maak je dan op dat het 100% zeker is? Er is namelijk geen duidelijkheid wie deze berichten allemaal heeft ontvangen. Het zal niet de eerste keer zijn dat criminelen systemen of diensten die gebruikers zelf geregeld hebben leeggeroofd zijn en criminelen gericht gaan phishen op een of meer gemeenschappelijke merken. Als je stelt dat het 100% zeker is hoort het te blijken. Gelukkig heeft de wetgever de lat voor melden een stuk lager liggen: vermoeden is al ernstig. En daar is duidelijk wel genoeg reden voor.
Reageer
sapphire 12 januari 2026 16:59
Het wellnesscentrum in Valkenburg stelt dat het direct maatregelen heeft genomen 'om het incident te stoppen'.
Welk incident? De whatsappberichten waar ze geen invloed op hebben of het lek waar ze nog van moeten onderzoeken hoe/wat/waar/wanneer :?

Mooi stukje PR en damage control maar inhoudelijk niets zeggen.
Reageer
Clu3M0r3 12 januari 2026 18:02
Thermae 2000 ontdekte deze digitale inbraak afgelopen zaterdag. "Wij zijn hiervan op de hoogte geraakt nadat gasten bij ons meldden dat zij vreemde WhatsApp-berichten ontvingen die leken te zijn verzonden namens Thermae 2000", aldus de mail aan klanten.
Een opmerkelijke formulering. Eerst pretenderen dat je een lek hebt ontdekt, en dan zeggen dat klanten je erop hebben gewezen.

Als die klanten het niet hadden gemeld (wat ze gelukkig wel hebben gedaan) dan had Thermae 2000 dit lek naar alle waarschijnlijkheid niet ontdekt.
“For many organizations, security comes down to basic economics. If the cost of security is less than the likely cost of losses due to lack of security, security wins. If the cost of security is more than the likely cost of losses, accept the losses.”
― Bruce Schneier, Data and Goliath

[Reactie gewijzigd door Clu3M0r3 op 12 januari 2026 19:16]

Reageer
verstrooid_prof 12 januari 2026 20:41
ivm "spoofen"... ikzelf ben niet echt erin gelopen, maar ik heb toch echt een double-take moeten doen. er waren echt wel veel zaken die correct waren, inclusief afwijkend hoofdlettergebruik enzo..

screenshot vd whatsapp
Reageer
martwoutnl @verstrooid_prof13 januari 2026 09:26
Is de link in het screenshot wel een gangbare rond reserveringen? Hij oogt bij mij als vreemd maar ik ken niet alle websites rond reserveringen. Als ik zelf zoiets zou krijgen, zou ik even direct bij het bedrijf navragen of dit wel klopt. Ik heb het ook weleens van de bank gehad over dat ik een bankrekening had geopend. Oogde vreemd dus even een bericht gestuurd via de officiële weg en bleek toen een fout in hun systeem te zijn. Iets teveel mensen hadden dat gehad. Later kwam er een excuusmail. Maar zo en zo inzake hotels boek ik nooit meer bij Booking om die reden. Gewoon direct bij het hotel.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq