Booking.com muss 558.000 $ Strafe für verspätete Benachrichtigung über Datenschutzverletzungen zahlen

Cyber Security News

Eine große Hotelbuchungsseite wurde zu einer Geldstrafe von 475.000 € verurteilt, nachdem sie eine schwerwiegende Datenschutzverletzung nicht innerhalb der von der General Data Protection Regulation (GDPR) vorgeschriebenen Frist gemeldet hatte.

Booking.com erlitt die Verletzung im Jahr 2018, als Telefonbetrüger 40 Mitarbeiter in verschiedenen Hotels in den Vereinigten Arabischen Emiraten (VAE) angriffen.

Nachdem sie deren Anmeldedaten für ein Booking.com-System erhalten hatten, konnten sie auf die persönlichen Daten von über 4100 Kunden zugreifen, die über die Website ein Hotelzimmer in den VAE gebucht hatten. Die Kreditkartendaten von 283 Kunden wurden ebenfalls offengelegt, und in 97 Fällen wurde der Sicherheitscode (CVV) kompromittiert.

“Booking.com-Kunden liefen hier Gefahr, ausgeraubt zu werden. Selbst wenn die Kriminellen keine Kreditkartendaten gestohlen haben, sondern nur jemandes Namen, Kontaktdaten und Informationen über seine Hotelbuchung, haben die Betrüger diese Daten für Phishing verwendet”, erklärte Monique Verdier, VP der niederländischen Datenschutzbehörde (AP).

“Indem sie per Telefon oder E-Mail vorgaben, zum Hotel zu gehören, versuchten sie, Geld von den Leuten zu nehmen. Das kann sehr glaubwürdig sein, wenn ein solcher Betrüger genau weiß, wann Sie welches Zimmer gebucht haben, und Sie fragt, ob Sie für diese Nächte bezahlen wollen. Der Schaden kann dann erheblich sein.”

Obwohl der Verstoß anscheinend nicht die Schuld von Booking.com war, wurde seine Reaktion als mangelhaft befunden.

Der Reiseriese, der seinen Hauptsitz in den Niederlanden hat, wurde am 13. Januar 2019 über den Vorfall informiert, meldete ihn aber erst am 7. Februar – 22 Tage später – an AP. Die GDPR schreibt strenge Regeln vor, um innerhalb von 72 Stunden zu berichten.

Verdier argumentierte, dass dies eine schwerwiegende Verletzung des Vertrauens war, das Millionen von Kunden in die Plattform setzen, um ihre Daten sicher zu halten. Die Verpflichtungen von Online-Firmen erstrecken sich nicht nur auf Best-Practice-Cybersicherheitskontrollen, behauptete sie, sondern auch darauf, schnell zu reagieren, wenn etwas schief geht.

“Eine Datenverletzung kann leider überall passieren, auch wenn Sie gute Vorsichtsmaßnahmen getroffen haben, aber um Schaden für Ihre Kunden und die Wiederholung einer solchen Datenverletzung zu verhindern, müssen Sie dies rechtzeitig melden”, sagte Verdier.

“Diese Schnelligkeit ist sehr wichtig: in erster Linie für die Opfer eines Lecks. Nach einer solchen Meldung kann die Aufsichtsbehörde unter anderem anordnen, dass ein Unternehmen betroffene Kunden sofort warnt – damit Kriminelle nicht wochenlang Zeit haben, um zum Beispiel weiter zu versuchen, Kunden zu betrügen.”

Booking.com wird die Geldstrafe laut AP nicht anfechten.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com