Politie pakt man op voor hacken betaalsystemen om hotels voor 1 cent te boeken

De Spaanse politie heeft een 20-jarige hacker opgepakt die ervan verdacht wordt de betaalsystemen van online reisbureaus te saboteren. Daarmee zou hij voor 1 cent hotels boeken. Volgens de politie is dit de eerste keer dat deze modus operandi is opgemerkt.

De hacker zou een niet-gespecificeerde tool hebben gebruikt om het validatieproces van online betalingen te manipuleren, waardoor betalingen van één cent werden verwerkt alsof het volledige bedrag was betaald. Hij gebruikte daarbij een 'populair, internationaal betaalplatform'. Een online reisbureau ontdekte de verdachte boeking een paar dagen na de betaling en schakelde de Spaanse politie in.

De 20-jarige man werd eerder deze maand gearresteerd in een luxe hotel in Madrid. Hij zou dat hotel via deze methode in totaal meer dan 20.000 euro hebben afgetroggeld. De politie zegt dat deze oplichtingsmethode voor het eerst is ontdekt. Het is onduidelijk of dezelfde cyberaanval eerder al is uitgevoerd.

Booking.com Spanje
Afbeelding ter illustratie

Door Kevin Krikhaar

Redacteur

Feedback • 18-02-2026 17:06
38 • submitter: Anonymoussaurus

18-02-2026 • 17:06

38

Submitter: Anonymoussaurus

Lees meer

Politie houdt vier Zeeuwen aan voor diefstal van 1,4 miljoen euro aan nft's
Politie houdt vier Zeeuwen aan voor diefstal van 1,4 miljoen euro aan nft's Nieuws van 25 januari 2026
Interpol arresteert 574 mensen bij cybercriminaliteitsoperatie in Afrika
Interpol arresteert 574 mensen bij cybercriminaliteitsoperatie in Afrika Nieuws van 23 december 2025
Europol plaatst vermeende leider van ransomwarebende op Most Wanted-lijst
Europol plaatst vermeende leider van ransomwarebende op Most Wanted-lijst Nieuws van 10 september 2025
Politie identificeert 126 Nederlandse gebruikers op Cracked.io
Politie identificeert 126 Nederlandse gebruikers op Cracked.io Nieuws van 11 juni 2025
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Betaling Betalingsverkeer Cybercrime Cybersecurity Spanje

Reacties (38)

-Moderatie-faq
38
38
18
1
0
18
Wijzig sortering

Sorteer op:

Weergave:
MineTurtle 18 februari 2026 17:39
Een aantal jaar geleden kon ik via een bepaalde omweg van het betaalsysteem gratis verzendlabels genereren (die ook werkten) via PostNL. Via deze weg ook 1 pakketje naar mezelf opgestuurd (om te verifiëren dat het niet in het sorteercentrum tegen werd gehouden).
Dit destijds netjes bij PostNL gemeld maar nooit wat op teruggehoord. 2 dagen later was het lek wel compleet gedicht :+

[Reactie gewijzigd door MineTurtle op 18 februari 2026 17:39]

Reageer
Patrick1995 @MineTurtle18 februari 2026 17:49
Ja zo wordt er vaak mee omgegaan. Gewoon niet reageren en snel oplossen.
Had hetzelfde toen ik een MySQL-injectie tegenkwam in een webshop. Netjes gemeld maar nooit antwoord gehad op mijn e-mail. Maar het was wel ineens opgelost.
Wat dat betreft snap ik dat mensen in plaats van netjes meldingen maken er misbruik van gaan maken, want het melden is zo ondankbaar werk.
Reageer
DaKluit @Patrick199518 februari 2026 18:26
Ben ik het niet mee eens. Ja, als iemand zoiets meldt vind ik ook dat het bedrijf op zijn minst een bericht terug mag sturen met bedankt.

Maar als ze dat niet doen, geeft dat jou niet het recht om dan zelf maar een bedankje uit te gaan zoeken. En ja, dan kan dat ondankbaar aanvoelen. Maar ze zijn je zeker dankbaar, ookal hebben ze je dat niet verteld.
Reageer
jesco_white @MineTurtle18 februari 2026 18:28
Niet helemaal hetzelfde maar: ooit bestelde ik een product van een paar tientjes op een kookwebshop. Product in de virtuele winkelmand gedaan, via volgende pagina mijn adresgegevens ingevuld, en op laatste betaalpagina sloeg de twijfel toe. Ik zag van daadwerkelijke aankoop af en klikte de pagina weg.

De dagen erna kreeg ik een paar automatische mailtjes dat mijn bestelling nog niet afgerond was. Die gooide ik gewoon weg.

Kort daarna kwam de postbode doodleuk het product bij mij afleveren. Was dus ergens een mismatch tussen het daadwerkelijk betalen en een achterliggend magazijn waar de producten kennelijk direct al werden ingepakt en verzonden. Netjes gemeld, maar nooit meer wat van gehoord. Vroeg mij af of deze truuk nog zou werken, alleen vrees ik de toorn van mijn vriendin. (En terecht)
Reageer
Blokker_1999
@jesco_white18 februari 2026 19:01
Geen idee hoe het in Nederland zit, maar in Belgie is het zo dat als een winkel jouw ongevraagd, zonder dat er sprake is van een koopovereenkomst, producten opstuurt en dan vraagt of je die ook even wenst te betalen, wat bij jouw niet het geval was, dan hebben zij niet eens het recht om die spullen terug te vragen.

Dit uiteraard wanneer het ook effectief aan jouw geadresseerd is. Wanneer een product duidelijk voor een andere bestemmeling bedoeld is, dan mag je het niet zomaar houden.
Reageer
Patrick_Wolf 18 februari 2026 17:10
Je mag het misschien niet zeggen, maar ik vind het toch wel briljant als iemand zoiets lukt. Dat je er vervolgens misbruik van gaat maken, dat is de reden dat je ook gepakt wordt. Maar iemand met deze skills zou toch ook gewoon een leuke baan kunnen krijgen waarbij precies hetzelfde doet, alleen dan ook helpt met het oplossen ervan.
Reageer
rneeft @Patrick_Wolf18 februari 2026 17:10
Als je de kwetsbaarheid vind, 1 hotelkamer boekt voor 1 nacht om het te bewijzen en het daarna het meldt dan zal niemand daar kwaad in zien. Maar dit is gewoon puur eigenbelang geweest.
Reageer
vrow @rneeft18 februari 2026 17:26
Tsja, dit is gewoon heel erg grappig.

En als ik een manier had om zo'n luxe kamer te boeken voor een cent, dan had ik dat waarschijnlijk ook wel gedaan hoor. Van alle soorten criminaliteit die je kunt bedenken, vind ik zoiets als dit het minst erge. Je neemt geen spullen weg, doet niemand kwaad en het kost alleen het luxe hotel wat geld inderdaad.
In zulke gevallen denk ik: een kleine boete of iets en het is ook wel klaar hoor. Mensen die willens en wetens veel te hard rijden, door rood rijden etc. brengen wel mensen in gevaar en worden niet opgepakt en komen er moet een boete van af. Het moet wel in verhouding staan tot de ernst van het vergrijp.
Reageer
bloody @vrow18 februari 2026 17:39
En als ik een manier had om zo'n luxe kamer te boeken voor een cent, dan had ik dat waarschijnlijk ook wel gedaan hoor.
Ehh, wat is dat nou weer voor mentaliteit? 8)7
Reageer
joker1977 @vrow18 februari 2026 17:43
Van alle soorten criminaliteit die je kunt bedenken, vind ik zoiets als dit het minst erge. Je neemt geen spullen weg, doet niemand kwaad en het kost alleen het luxe hotel wat geld inderdaad.
Behalve dat die kamer dus niet meer verhuurd kan worden, er ongetwijfeld wel resources mee gemoeid zijn (service, verschonen, verwarmen) en er ongetwijfeld ook weleens een ontbijtje mee geboekt werd, waar dus niet voor betaald is. Dat maakt het gewoon diefstal, niks anders dan dat.

Juist te hard rijden is niks anders dan een boete waar verder geen enkele schade is berokkend.

Bijzondere moraal heb je...
Reageer
Somoghi @joker197718 februari 2026 19:17
Ligt er wel helemaal aan waar en hoeveel te hard, 20km te hard op de snelweg, of binnen de bebouwde kom in een woonerf, of naast een school. Voor rood licht is het nog net iets beroerder. Ja ik ben het volledig met @vrow eens. Een klein beetje geld voor een goede les wat enkel economische schade heeft vind ik minder erg als een mensenleven op het spel. Mits het binnen grenzen blijft, 1x 1 nacht, niet zo erg, goedkope les voor het hotel zelfs. Maar goed, zo heeft iedereen zn eigen waarheid. Beter is al het voorgaande gewoon te laten.
Reageer
Olaf van der Spek @vrow18 februari 2026 17:45
en het kost alleen het luxe hotel wat geld inderdaad.
Is dat minder erg dan iets 'meenemen' uit de AH?
Reageer
Blokker_1999
@rneeft18 februari 2026 19:02
Dat niemand er kwaad in ziet zou ik niet zomaar zeggen. Er zijn spijtig genoeg ook voorbeelden bekend waarbij iemand een lek vindt, aantoont dat het misbruikt kan worden zonder effectief te misbruiken, in dit geval zou dat kunnen door een kamer ver in de toekomst te boeken, en toch wordt aangeklaagd voor het hacken van het platform nadat dit netjes en volgens de regels van de kunst gemeld werd.
Reageer
HoppyF @Patrick_Wolf18 februari 2026 17:27
Inderdaad heel dom.
De hacker mag dat slim genoeg geweest zijn om deze truc te ontdekken en uit te voeren maar had ook kunnen weten dat dit snel ontdekt zal gaan worden. Dit gaat hem nu een strafblad opleveren dus een leuke baan in de ICT kan hij op zijn buik schrijven.
Reageer
downtime @HoppyF18 februari 2026 17:47
Dit gaat hem nu een strafblad opleveren dus een leuke baan in de ICT kan hij op zijn buik schrijven.
Is dat zo? Bij een bank hoeft ie niet meer aan te kloppen maar er zijn toch genoeg bedrijven die geen VOG vragen?
Reageer
adje123 @Patrick_Wolf18 februari 2026 17:12
Je bent pas echt stom als je dit 20x doet bij hetzelfde hotel. Ik las op ad.nl dat de kamer zo'n 1000 euro per nacht kost. Hij is er dus minimaal 20 dagen geweest.

Als hij dit bij meerdere hotels has gedaan was de pak kans iets kleiner verwacht ik.
Reageer
downtime @adje12318 februari 2026 17:41
Als ie het bij 20 hotels had gedaan dan waren er ook 20 kansen om gepakt te worden. Nu maar eentje. Maar, toegegeven, als je 20 hotels op die manier oplicht zul je vaak alweer gevlogen zijn voordat ze erachter komen dat je niet betaald hebt.
Reageer
R_Zwart @Patrick_Wolf18 februari 2026 17:12
Je moet eigenlijk dit soort dingen doen die niet zichtbaar worden. Als je allemaal luxe hotels boekt dan gaat het toch opvallen. Aan de andere kant: wat heb je er aan als niets overdreven luxe kunt doen met wat je aan het roven bent?
Reageer
Jerie @Patrick_Wolf18 februari 2026 17:34
Kwetsbaarheden uitbuiten is een andere skillset dan vinden if oplossen.
De hacker zou een niet-gespecificeerde tool hebben gebruikt [...]
Tooltjes is laaghangend fruit. Dus een scriptkiddie, geen hacker. Ook geen whitehat.

[Reactie gewijzigd door Jerie op 18 februari 2026 17:34]

Reageer
FooLsKi @Jerie18 februari 2026 17:38
Tenzij hij de tool zelf heeft gemaakt ;)
Reageer
DannyXP1600 @FooLsKi18 februari 2026 18:06
Behalve als de tool "zelfgemaakt" is door een prompt te typen op chatgpt ofzo
Reageer
JBVisual @Patrick_Wolf18 februari 2026 17:37
Ik ken mensen die inderdaad met dit soort skills behoorlijk goed betaalde banen hebben (meer dan 8k per maand), de wereld rondreizen en daar voor hun werk in goede hotels slapen (al kosten deze ook weer geen €1000 per nacht).

Maar met de huis te skills kan je inderdaad leuk verdienen en is dit echt niet nodig.
Reageer
GrooV 18 februari 2026 17:09
Thuisbezorgd is dit ook toch ooit een aantal jaar geleden overkomen? Volgens mij gewoon een kwestie van geen server validatie toepassen, wat echt niet meer kan in 2026 (en 10 jaar geleden ook niet)
Reageer
SYQ @GrooV18 februari 2026 17:21
Dat was de concurrent, weet alleen niet meer wie het was
Reageer
GrooV @SYQ18 februari 2026 17:44
Het was Just eat (nu gefuseerd met Thuisbezorgd) https://www.nu.nl/interne...pizzas-voor-een-cent.html
Reageer
Piemol @GrooV18 februari 2026 17:42
Geen server validatie, en niet valideren dat {betaald bedrag} overeenkomt met {te betalen bedrag}. Als hij daadwerkelijk maar één cent heeft betaald, dan zou het hotel moeten zien dat er nog €999,99 open staat en de man de kamer niet in laten.
Reageer
-Elmer- @GrooV18 februari 2026 17:52
wat echt niet meer kan in 2026 (en 10 jaar geleden ook niet)
Helemaal mee eens. Als je de integriteit van je betaalsysteem zó erbarmelijk slecht inricht dat dit kan dan mág je ook gewoon voor 1 cent overnachten als je het mij vraagt. Net als dat ooit de kopieerbeveiliging van DVD's als zó belabberd is gekwalificeerd dat het omzeilen ervan niet meer als inbreuk kon worden aangemerkt. Wie hier opgepakt zou moeten worden zijn de eigenaren van het boekingsplatform voor het onvoldoende beschermen van hun klanten (hotels en gasten).
Reageer
moonlander 18 februari 2026 17:30
De afbeelding suggereert nu dat dit op booking.com gebeurde... dat is dus niet zo!

[Reactie gewijzigd door moonlander op 18 februari 2026 17:31]

Reageer
hottestbrain @moonlander18 februari 2026 17:37
Booking heeft idd een zelf gebouwd payment platform: BHFS.
Reageer
Ikke_niet 18 februari 2026 17:12
Welke tweaker missen we?
Reageer
JBVisual @Ikke_niet18 februari 2026 17:35
Ik moet eerlijk bekennen dat ik dit soort opmerkingen ergens wel grappig vind. Het zou mooi zijn als we in dit moderatiesysteem een sarcasme knop zouden hebben waarop je duidelijk wat humor in kan brengen, maar anderen deze opmerkingen makkelijk weg zouden kunnen filteren.
Reageer
Wodger @Ikke_niet18 februari 2026 17:23
Echt off-topic, maar: *gniffel*
Reageer
lighting_ 18 februari 2026 17:51
1 cent valt gewoon op.
En je naam/IBAN is geregistreerd.
Het was een kwestie van tijd

[Reactie gewijzigd door lighting_ op 18 februari 2026 17:52]

Reageer
DannyXP1600 @lighting_18 februari 2026 18:09
Zelfs al doe je het met een gestolen bankpas/naam/iban. Als je je bij de receptie meldt laten ze direct de politie komen,toch?
Reageer
Macshack @DannyXP160018 februari 2026 18:25
Niet als je de kamer doorverkoopt ipv zelf in gaat slapen.
Reageer
neusje80 18 februari 2026 18:11
Doet me denken aan de vrij lang geleden, toen kon je met een plugin als tamperdata, toen kon je daadwerkelijk de verkoop prijs veranderen
Reageer
vinkjb 18 februari 2026 18:16
Trivago gebruikt, altijd goeie deal volgens de reclame. 1cent superdeal
Reageer
Macshack 18 februari 2026 18:26
1 cent is wel heel skeer. Maar dat is mijn 2 cent
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq