Die Reisebranche steht angesichts einer neuen Sicherheitslücke in den Startlöchern. Am 13. April 2026 bestätigte Booking.com, dass es zu einem unbefugten Zugriff auf die Reservierungsdaten von Gästen gekommen ist. Die betroffenen Daten umfassen unter anderem Buchungsdetails, Namen, E-Mail-Adressen, Anschriften und Telefonnummern. Glücklicherweise sind sensible Zahlungsinformationen nicht betroffen, was einen kleinen Lichtblick in dieser dunklen Angelegenheit darstellt. Dennoch bleibt die Situation besorgniserregend, da die erlangten Informationen für Phishing-Angriffe missbraucht werden können. Malwarebytes berichtet, dass die Kriminellen Zugang über gefährdete Hotelpartner erlangten.
Das Sicherheitsteam von Microsoft hat die Phishing-Technik „ClickFix“ identifiziert, die als Ursache für den Vorfall verantwortlich gemacht wird. Unaufmerksame Mitarbeiter von Hotels wurden dazu verleitet, gefährliche Malware zu installieren, die dann zum Zugriff auf Buchungsinformationen führte. Die kriminelle Gruppe Storm-1865 wird als Drahtzieher hinter diesem Angriff vermutet. Mithilfe gefälschter CAPTCHA-Seiten gelang es den Betrügern, Werkzeuge wie XWorm und VenomRAT zu verbreiten.
Die Folgen für die Gäste
Betroffene Kunden wurden bereits über die potentiellen Folgen dieses Datenlecks informiert. Booking.com rät dazu, wachsam zu sein und keine persönlichen Daten an Dritte weiterzugeben. Die Kunden sollten sich bewusst sein, dass der Anbieter niemals nach Kreditkartendaten oder Banküberweisungen per E-Mail, Telefon, WhatsApp oder SMS fragen wird. Eine präventive Änderung der Passwörter und die Überprüfung von Konten und Kontoauszügen sind dringend empfohlen. Diese Maßnahmen könnten möglicherweise unnötige Risiken mindern und einen besseren Überblick über verdächtige Aktivitäten geben. Chip.de hebt hervor, dass die Situation derzeit unter Kontrolle sei und weitere Maßnahmen in Arbeit sind.
Die Vorfälle sind nicht neu;Booking.com hatte bereits in der Vergangenheit mit ähnlichen Sicherheitslücken zu kämpfen. So kam es 2018 zu Phishing-Angriffen auf Hotelmitarbeiter, was zu einem erheblichen Datenverlust führte, bei dem mehr als 4.000 Kunden in den VAE betroffen waren, darunter 300 Kreditkartendaten. Bereits 2021 wurde das Unternehmen von der niederländischen Datenschutzbehörde mit 475.000 € (ca. 560.000 $) bestraft. Diese Vorfälle zeigen, dass Datenschutzverletzungen in der Reisebranche häufig vorkommen, wie unter anderem auch die Angriffe auf Eurail, KLM, Air France und Hertz belegen.
Empfehlungen für die Buchenden
In dieser turbulenten Zeit sollten Reisende besonders vorsichtig sein. Booking.com empfielt, bei Verdachtsmomenten direkt mit den Unterkunftsanbietern in Kontakt zu treten. Es ist wichtig, Buchungsbestätigungen sorgfältig zu prüfen und sich im Zweifelsfall an den Kundenservice zu wenden. Angesichts des Anstiegs der Meldungen über Betrugsversuche könnte es ratsam sein, beim Reisen ein gutes Händchen zu haben und allzu nachlässigem Verhalten entgegenwirken.
Um die Umstände in den Griff zu bekommen, wird die Zahl der Meldungen über ähnliche Betrugsfälle immer höher; allein zwischen Juni 2023 und September 2024 registrierte die britische Betrugsbekämpfungsstelle „Action Fraud“ 532 Meldungen mit einem Gesamtschaden von 370.000 £ (ca. 470.000 $). Es ist klar, dass die Reisebranche noch viel zu tun hat, um die Sicherheit der Kundendaten zu gewährleisten und Vertrauen zurückzugewinnen.