Hackers hadden half jaar toegang tot reserveringsdata van Best Western Hotels

Hackers hebben ruim een half jaar lang toegang gehad tot reserveringsgegevens van Best Western Hotels. Criminelen kunnen daardoor phishingmails sturen met informatie over komende reserveringen sturen, die er zo echt uitzien. De hotelketen waarschuwt dan ook voor zulke phishingmails.

De criminelen hadden van 14 oktober tot en met 22 april toegang tot het reserveringssysteem van BWH Hotels, het moederbedrijf van World Hotels, Best Western Hotels & Resorts en Sure Hotels. De hackers hadden toegang tot 'een van onze webapplicaties waarin bepaalde reserveringsgegevens van gasten worden opgeslagen', schrijft Best Western in een melding op de website.

Het gaat om namen, e-mailadressen, telefoonnummers en/of woonadressen 'van bepaalde gasten'. Ook reserveringsnummers, verblijfsdata en speciale verzoeken zijn daarmee uitgelekt. Betalingsgegevens en andere financiële informatie zijn niet gestolen, maar met die reserveringsgegevens kunnen criminelen wel gedetailleerdere phishingmails sturen over komende hotelovernachtingen.

De hotelketen waarschuwt dan ook voor onverwachte of verdachte communicatie over hotelverblijven, 'zelfs als dit verwijst naar een BWH Hotels-accommodatie of een komende reservering'. BWH Hotels waarschuwt bijvoorbeeld voor e-mails en sms- of WhatsApp-berichten over betalingen, codes, inloggegevens of verificatiecodes. Klanten moeten rechtstreeks naar de hotelwebsite gaan en niet op links klikken.

BWH Hotels geeft geen nadere informatie over het lek. Het is dan ook niet duidelijk hoe de hackers binnen konden komen en waarom het zo lang duurde voordat de hack werd ontdekt. Heise meldt dat de hotelketen al in februari waarschuwde voor een phishingcampagne over aanstaande hotelovernachtingen, waardoor het er al op leek dat de keten was gehackt. Destijds onderzocht BWH Hotels nog of dit inderdaad het geval was. Het lijkt erop dat de hotelketen hier pas op 22 april achterkwam.