Η Booking.com – μία από τις πιο δημοφιλείς πλατφόρμες κρατήσεων ξενοδοχείων – καλείται να πληρώσει πρόστιμο ύψους 475.000€, καθώς απέτυχε να αναφέρει σοβαρή παραβίαση δεδομένων εντός της χρονικής περιόδου που επιβάλλεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).
Διαβάστε επίσης: GDPR: Πώς οι απομακρυσμένοι εργαζόμενοι κινδυνεύουν να τον παραβιάσουν;
Η Booking.com υπέστη την παραβίαση το 2018, όταν απατεώνες τηλεφώνου στόχευσαν 40 υπαλλήλους σε διάφορα ξενοδοχεία στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Αφού έλαβαν τα credentials σύνδεσής τους σε ένα σύστημα της Booking.com, μπόρεσαν να αποκτήσουν πρόσβαση στα προσωπικά στοιχεία περισσότερων από 4.000 πελατών που είχαν κάνει κράτηση σε ξενοδοχεία στα ΗΑΕ μέσω του site. Τα στοιχεία των πιστωτικών καρτών 283 πελατών εκτέθηκαν επίσης και σε 97 περιπτώσεις παραβιάστηκε ο κωδικός ασφαλείας (CVV).
Η Monique Verdier, VP της Ολλανδικής Αρχής Προστασίας Δεδομένων (AP), ανέφερε τα ακόλουθα: «Οι πελάτες της Booking.com διατρέχουν τον κίνδυνο να τους κλέψουν εδώ. Ακόμα κι αν οι εγκληματίες δεν έκλεψαν στοιχεία πιστωτικών καρτών, αλλά μόνο ονόματα, στοιχεία επικοινωνίας και πληροφορίες σχετικά με την κράτηση του ξενοδοχείου, οι απατεώνες χρησιμοποίησαν αυτά τα δεδομένα για phishing. Προσποιούμενοι ότι ανήκουν στο ξενοδοχείο μέσω τηλεφώνου ή email, προσπάθησαν να κλέψουν χρήματα από ανυποψίαστους ανθρώπους. Αυτό μπορεί να φαίνεται αξιόπιστο εάν ένας τέτοιος απατεώνας ξέρει ακριβώς πότε έχετε κάνει κράτηση για το δωμάτιο και ρωτά αν θέλετε να πληρώσετε για τις διανυκτερεύσεις. Τότε, η ζημιά μπορεί να είναι σημαντική.»
Δείτε επίσης: Phishing επιθέσεις χρησιμοποιούν fake έρευνες εμβολίου COVID-19 για να κλέψουν προσωπικά στοιχεία
Παρόλο που η παραβίαση δεν φαίνεται να είναι λάθος της Booking.com, η εταιρεία κλήθηκε να δώσει εξηγήσεις.
Ο ταξιδιωτικός γίγαντας, που εδρεύει στις Κάτω Χώρες, ενημερώθηκε για το περιστατικό ασφαλείας στις 13 Ιανουαρίου 2019, αλλά δεν το ανέφερε εγκαίρως στην AP. Ο GDPR επιβάλλει αυστηρούς κανόνες για αναφορά εντός 72 ωρών.
Σύμφωνα με την Verdier, πρόκειται για σοβαρή παραβίαση της εμπιστοσύνης που δίνουν εκατομμύρια πελάτες στην πλατφόρμα για να διατηρηθούν τα στοιχεία τους ασφαλή. Η Verdier πρόσθεσε ακόμη ότι υποχρεώσεις των διαδικτυακών εταιρειών δεν περιορίζονται μόνο στους ελέγχους βέλτιστης πρακτικής στον κυβερνοχώρο, αλλά και στην γρήγορη αντίδραση εάν και όποτε τα πράγματα πάνε στραβά.
Πρόταση: Ubiquiti: Κατηγορείται ότι κάλυψε σοβαρή παραβίαση δεδομένων
Τέλος, η Verdier επεσήμανε τα ακόλουθα: «Μια παραβίαση δεδομένων μπορεί δυστυχώς να συμβεί οπουδήποτε, ακόμα κι αν έχετε λάβει καλές προφυλάξεις, αλλά για να αποφύγετε ζημιά στους πελάτες σας καθώς και την επανάληψη μιας τέτοιας παραβίασης δεδομένων, πρέπει να το αναφέρετε εγκαίρως. Η έγκαιρη αναφορά είναι πολύ σημαντική: πρώτον για τα θύματα μιας διαρροής. Μετά από μια τέτοια αναφορά, η AP μπορεί, μεταξύ άλλων, να διατάξει μια εταιρεία να προειδοποιήσει άμεσα τους πληγέντες πελάτες – για να αποτρέψει τους εγκληματίες να συνεχίσουν να προσπαθούν να εξαπατήσουν τους πελάτες, για παράδειγμα.»
Η Booking.com δεν θα φέρει αντίρρηση για το πρόστιμο, σύμφωνα με την AP.
Πηγή πληροφοριών: infosecurity-magazine.com
