
Bijna 42.000 Nederlandse kampeerders slachtoffer van hack bij grote Europese boekingssite
Tienduizenden Nederlanders zijn slachtoffer van een hack bij een grote Franse campingboekingssite. Alle persoonlijke gegevens, inclusief het moment dat ze op vakantie zijn, liggen op straat. Dat blijkt uit onderzoek van EenVandaag.
Het campingboekingssysteem Secureholiday, waar veel Europese campings gebruik van maken, blijkt eind februari te zijn gehackt. Van 500 campings - in vooral Frankrijk, Spanje en Italië - zijn gegevens van 41.577 Nederlandse reserveringen gestolen. Het gaat dan om namen, e-mailadressen, reisbestemmingen, boekingsdata en het bedrag dat is betaald. Dit is aan EenVandaag bevestigd door Ctoutvert, het Franse moederbedrijf achter het boekingssysteem.
Verdachte emails
Volgens het bedrijf is het beveiligingslek gelijk dezelfde dag gedicht, maar de diefstal was toen al gepleegd. Dat deze gegevens op straat liggen, kwam echter pas aan het licht toen de cybercriminelen in mei en juni mails verstuurden naar een grote groep onwetende kampeerders.
De groep werd in de mail verzocht een betaling via creditcard te bevestigen. Het bericht, dat afkomstig van de camping zou zijn, zag er volgens de kampeerders geloofwaardig uit omdat deze de persoonlijke details, tot aan de boekingsdata aan toe, bevatten. Uiteindelijk deed de vraag naar creditcardgegevens mensen toch twijfelen en was dit reden om navraag te doen bij de camping.
Ctoutvert is eigenaar van het boekingssysteem Secureholiday. Volgens de eigen website is het bedrijf actief in achttien landen waaronder Nederland, Denemarken, België, Groot-Brittannië, Duitsland, Spanje en Frankrijk. Het regelt de boekingen voor 4.300 campings en is goed voor ongeveer 1,2 miljoen boekingen per jaar.
Gasten die een kampeerplaats of een andere accommodatie op een camping willen boeken, worden via de website van de camping doorgestuurd naar het boekingssysteem van Secureholiday. Daar kunnen ze dan hun boeking vastleggen en betalen.
Te laat geïnformeerd
Moederbedrijf Ctoutvert informeerde kampeerders niet zelf actief over de situatie. Wel zegt het bedrijf de hack toentertijd te hebben gemeld bij de campings die doelwit waren van de hack, zodat deze zelf hun gasten konden informeren. De campings beheren namelijk de data van alle bezoekers.
De alarmering bereikte vele kampeergasten niet op tijd, blijkt uit onderzoek door EenVandaag. De waarschuwingen van de campings werden vaak namelijk pas verstuurd nadat mensen zelf aan de bel trokken, omdat ze zich afvroegen of de mail die ze kregen wel betrouwbaar was. Veel kampeerders waarschuwden elkaar ook via social media voor de oplichters.
Meerdere datalekken
Secureholiday is niet de enige vakantiewebsite waar het reserveringssysteem dit jaar gehackt werd. Vacanseselect, Vacansesoleil, Gîtes de France, Best Western Hotels en Booking.com zijn hele recente voorbeelden.
Het is zo bijna niet meer van echt te onderscheiden.Eunice Bom van de Fraudehelpdesk over nepberichten
Bij de Fraudehelpdesk kregen ze dit jaar al bijna 1.100 meldingen van dit type oplichting en phishing binnen. Het ging dan om mails, appjes en sms'jes. "Je kunt natuurlijk met de technieken die er nu zijn gewoon alles heel erg mooi namaken", zegt Eunice Bom van de Fraudehelpdesk. "Het is zo bijna niet meer van echt te onderscheiden."
Piek in vakantieperioden
De Fraudehelpdesk ziet vooral pieken in dit soort meldingen in januari (220), mei (285) en juni (291). Dit is geen toeval, want dat zijn precies de perioden waarin mensen vakanties moeten betalen. Daar houden de criminelen rekening mee, legt Bom uit. "In de maanden waarin mensen vakanties gaan boeken, neemt het uiteraard toe."
Haar advies is dan ook om altijd goed op te letten als je een sms, app of mail krijgt van je accommodatie. "Dus wees echt alert op dat soort berichtjes en ga daar gewoon niet op in. Vraag echt na of het klopt voordat je ook maar iets doet."
14 mensen opgelicht
De volledige omvang van de hack bij Secureholiday is niet bekend, maar naast de bijna 42.000 Nederlandse slachtoffers zijn zeker nog vele tienduizenden andere Europeanen slachtoffer. Op vragen over het exacte aantal slachtoffers gaf moederbedrijf Ctoutvert geen antwoord aan EenVandaag. Wel geeft het bedrijf aan dat de helft van de gehackte boekingen van Fransen afkomstig is.
Inmiddels hebben veertien kampeerders zich bij het bedrijf gemeld, die ook daadwerkelijk zijn opgelicht. Onder wie ook zes Nederlanders. Ze zijn volgens Ctoutvert in gesprek met de betreffende camping en de bank.
Aangifte tegen hackers
"We zijn erg bezorgd over de hack die we op 28 februari hebben ontdekt", reageert Ctoutvert-eigenaar Manuel Mirabel in een reactie aan EenVandaag. Het bedrijf zegt ook al bij de Franse justitie aangifte gedaan te hebben tegen de hackers.
Ook laat Mirabel weten dat zijn bedrijf aanvullende veiligheidsmaatregelen heeft genomen en een extra veiligheidscontrole uitvoert. De adviezen die uit die controle volgen zullen worden doorgevoerd om het boekingssysteem veiliger te maken.