Betalingsgegevens en adressen niet gelekt bij hack Booking.com

“Geen betalingsgegevens en geen adressen” is corporate speak voor: we weten nog niet precies wat er weg is, maar dit klinkt beter in een pushbericht. simpel: als er “onbevoegde toegang” was tot boekingsinfo, dan heb je al genoeg PII om phishing op maat te doen, dus stop met doen alsof het alleen wat onschuldige reisdata is.

het probleem is dat Booking nu alleen praat over “wat niet” is ingezien, maar niet over hoe lang die onbevoegde toegang duurde, welke systemen geraakt zijn en of sessietokens/resetlinks ook zijn buitgemaakt; dan kun je met nul betaaldata alsnog accounts kapen en via partners/hotels de keten in. de oplossing is: verplicht 2FA, alle actieve sessies killen, wachtwoordresets forceren en vooral transparant een tijdlijn + scope delen, anders blijft het dweilen en is het draagvlak weg zodra de eerste nep-“booking bevestiging” in je inbox valt.

“Geen adressen ingezien” is een leuke semantische truc, want boekingsinfo ís al een adres in kwantumtermen: naam + data + hotel + tijdlijn = een toestand die je met één phishing-mail laat instorten naar “ik klik wel even”. en vergeet de entanglement met hotels/partners niet: als daar één mailbox of PMS-systeem mee resoneert, heb je een kettingreactie zonder ooit een creditcardnummer te zien...