W grudniu 2018 r. oszuści, drogą telefoniczną wyłudzili od pracowników 40 hoteli znajdujących się w Zjednoczonych Emiratach Arabskich dane do logowania w systemie booking.com. W ten sposób zdobyli dostęp do danych osób, które zarezerwowały pokój w hotelach. Dane obejmowały ich nazwiska, adresy i numery telefonów, a także szczegóły rezerwacji. Pozyskali również dostęp do informacji o kartach kredytowych prawie 300 osób. W prawie 100 przypadkach uzyskano również kod weryfikacyjny karty kredytowej. Przestępcy posunęli się również do próby wydobycia danych kart kredytowych bezpośrednio od ofiar, których dane wcześniej uzyskali, podając się za pracowników Booking.com w e-mailach lub telefonicznie.

Zdaniem holenderskiego organu ochrony danych naruszenie, które Booking.com zgłosił z opóźnieniem, mogło narazić na duże straty osoby, których dane pozyskali przestępcy. W wyniku oszustwa sprawcy posiedli wiele danych, które mogły zostać wykorzystane do dalszych przestępstw.

Naruszenie zgłoszono 22 dni za późno

Booking.com dowiedział się o incydencie 13 stycznia 2019 r., ale informację do organu ochrony danych przekazał dopiero 7 lutego, czyli 22 dni później. Zgodnie z art. 33 RODO administrator ma obowiązek zgłoszenia naruszenia w terminie 72 godzin po jego stwierdzeniu. Wyjątek od zgłoszenia naruszenia zachodzi gdy jest mało prawdopodobne, by wykryte naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których danych dotyczyło naruszenie. W tej sprawie nie stwierdzono, że wyjątek miał zastosowanie.

Jeszcze przed poinformowaniem organu ochrony danych, Booking.com poinformował klientów o naruszeniu, które ich dotknęło. Firma podjęła również inne środki w celu ograniczenia szkód, m.in. zaoferowała rekompensaty za wszelkie straty.

Należy pamiętać, że nawet najlepsze zabezpieczenia techniczne mogą nie zapobiec naruszeniom. Co ważne, w przypadku naruszenia konieczne jest podjęcie szybkich działań by zminimalizować jego konsekwencje. Jednym ze sposób zminimalizowania szkody jest właśnie zgłoszenie naruszeń w terminie do krajowego organu ochrony danych. Dzięki zgłoszeniu, organ ochrony danych może nakazać podjęcie dodatkowych czynności, co może zapobiec dalszym szkodom.

Wielkość ma znaczenie

Holenderski organ nadzorczy podkreślił, że w związku z wielkością firmy Booking.com i przechowywaniem w swoich systemach danych osobowych milionów klientów spoczywa na niej ogromna odpowiedzialność. Firma powinna zrobić wszystko co w jej mocy, aby odpowiednio chronić dane. Ochronę należy rozumieć nie tylko poprzez zapewnienie odpowiedniego poziomu bezpieczeństwa zapobiegającego naruszeniom, ale również jako podjęcie szybkich i odpowiednich działań w przypadku wystąpienia incydentu.

Booking.com nie wniesie sprzeciwu od decyzji ani nie wystąpi o ponowne rozpatrzenie decyzji nakładającej administracyjną karę pieniężną. Holenderski organ nadzorczy w decyzji nie ocenił zabezpieczeń stosowanych przez firmę. Booking.com poinformował również, że w wyniku oszustwa nie doszło do ujawnienia czy naruszenia kodu ani bazy danych obsługujących platformę. Firma podjęła wewnętrzne działania mające zapobiec podobnym incydentom.

Znaczący wzrost kradzieży danych

2020 r. obfitował w gwałtowny wzrost liczby ataków hakerskich mających na celu kradzież danych osobowych. Kradzieży danych można często zapobiec dzięki zwiększeniu stosowanych zabezpieczeń. Gdy już dojdzie do incydentu, pomocna będzie wewnętrzna polityka zgłoszeń incydentów, która ułatwi dobór odpowiedniej reakcji. Właściwe działanie może zapobiec nałożeniu podobnej kary jak ta nałożona na Booking.com

Źródło: https://autoriteitpersoonsgegevens.nl/en/news/bookingcom-fined-delay-reporting-data-breach; https://portswigger.net/daily-swig/booking-com-fined-560-000-for-gdpr-data-breach-violation