Booking.com bestätigte: Dritte erhielten Zugang zu Kundenpersonaldaten — Namen, E-Mail-Adressen, Telefonnummern und Buchungsdetails. Dies wurde aus Mitteilungen bekannt, die der Dienst in der letzten Woche an betroffene Nutzer zu verschicken begann.
Was genau durchgesickert ist — und was nicht
Nach Angaben von TechCrunch teilt das Unternehmen in seinen Schreiben mit: Die kompromittierten Informationen können „Buchungsdetails, Namen, E-Mails, Telefonnummern sowie alles, was Sie direkt der Unterkunft übermittelt haben" enthalten. Physische Adressen schloss Booking.com aus der endgültigen Erklärung aus — ein Sprecher des Unternehmens präzisierte gegenüber TechCrunch, dass diese nicht von den Angreifern erhalten wurden. Zahlungsdaten und Passwörter waren ebenfalls nicht betroffen.
Es scheint ein begrenzter Datensatz zu sein. Doch genau hier liegt die Hauptfalle.
Warum ein „unvollständiges" Datenleck gefährlicher als ein vollständiges ist
Ein betroffener Nutzer berichtete TechCrunch, dass er bereits zwei Wochen vor der offiziellen Benachrichtigung eine Phishing-Anfrage in WhatsApp erhielt — und die Nachricht enthielt genaue Details seiner Buchung. Der Betrüger kannte das Datum, das Hotel, den Betrag. Er wusste genug, um legitim zu wirken.
„Selbst wenn Zahlungsdaten nicht gestohlen wurden, bleibt ein solches Datenleck eine ernsthafte Bedrohung für Reisende. Die aktuelle Gefahr ist eine zweite Welle von Betrügereien".
Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN, für Travel Weekly
Dies ist ein klassisches Schema: Angreifer versuchen nicht sofort, ein Bankkonto zu knacken. Sie bauen Vertrauen durch den Kontext auf — und bitten um die Kartennummer bereits „im Gespräch", wo das Opfer keine Gefahr vermutet. Booking.com warnte in seinem Schreiben: Das Unternehmen fragt niemals nach einer Kartennummer per E-Mail, Telefon, SMS oder WhatsApp.
Was über das Ausmaß und die Quelle bekannt ist
Booking.com verwaltet über 28 Millionen Unterkünfte weltweit und ist einer der größten Travel-Aggregatoren. Die genaue Anzahl der betroffenen Nutzer gab das Unternehmen jedoch nicht preis. Wie Security Affairs anmerkt, ist bislang unklar, ob die eigenen Systeme von Booking.com kompromittiert wurden oder ob der Angriff über Dritte erfolgte — etwa über Hotels oder Partner der Plattform.
Das Unternehmen versicherte, dass es „sofort Maßnahmen ergriffen hat, um den Zwischenfall einzugrenzen" und benachrichtigt nur die Kunden, deren Daten möglicherweise betroffen sind.
Was Sie jetzt tun sollten
- Ignorieren Sie alle Nachrichten in WhatsApp oder SMS von „Booking.com" mit der Bitte, eine Zahlung zu bestätigen oder eine Kartennummer einzugeben.
- Überprüfen Sie alle Anfragen ausschließlich über die offizielle App oder Website — klicken Sie nicht auf Links in E-Mails.
- Seien Sie besonders vorsichtig, wenn jemand in der Korrespondenz genaue Details Ihrer Buchung kennt: Dies beweist nicht die Legitimität.
Sollte Booking.com die Anzahl der betroffenen Personen nicht bis zum Abschluss der Untersuchung offenlegen, haben Datenschutzbehörden — insbesondere die irische DPC, unter deren Gerichtsbarkeit das Unternehmen in der EU fällt — alle Gründe, Erklärungen zu fordern: Nach der DSGVO beträgt die Frist für die Benachrichtigung der Behörden 72 Stunden ab der Entdeckung des Datenlecks.
