Wenn von staatlichen Hackerangriffen die Rede ist, fallen schnell die Namen Russland oder China – und das durchaus zu Recht. Beide Länder sind in Hinblick auf Cyberattacken äußerst umtriebig. Doch natürlich ist auch die andere Seite bei weitem nicht so zurückhaltend, wie sie sich gerne öffentlich gibt. Das verdeutlicht nun ein neues Buch ("De Machine: In de ban van Booking.com"), in dem sich die niederländischen Autoren der Reiseplattform Booking.com widmen und dabei auch einen bislang unbekannten Hack öffentlich machen.

Interesse an Reisenden

Bereits im Jahr 2016 soll ein nicht näher spezifizierter US-Geheimdienst auf den Servern von Booking.com eingebrochen sein, um Daten über Nutzer aus dem Nahen Osten abzugreifen. Konkret sei es dabei um tausende Hotelreservierungen in Ländern wie Saudi-Arabien, Katar und den Vereinigten Arabischen Emiraten gegangen. Damit wollte man offenbar Einblick in die Reisepläne der Betroffenen erhalten. Zum Einbruch scheint man sich dabei gestohlener PINs von Reservierungen bedient zu haben, weswegen die Kampagne intern bei Booking.com auch als "PIN-Leak" geführt worden sein soll.

Booking.com dürfte den Vorfall rasch bemerkt haben. Jedenfalls soll eine mit der Untersuchung betraute Privatfirma aus den USA bereits zwei Monate später belegt haben, dass der betreffende Hacker für eine Firma arbeitet, die Aufträge für US-Geheimdienste ausführt. Weiter untersucht, welcher davon konkret in dem Fall den Hack beauftragt hat, wurde offenbar nicht mehr. Parallel dazu soll die in Amsterdam angesiedelte Reiseplattform auch noch den niederländischen Geheimdienst AIVD mit der Untersuchung des Datenlecks beauftragt haben, auch hier scheinen keine weiteren Schritte erfolgt zu sein.

Geheimhaltung

Nach Rücksprache mit Rechtsexperten habe man sich bei Booking.com schlussendlich dazu entschlossen, die Sache geheim zu halten. Die betroffenen Nutzer wurden also nie informiert, berichten die drei Buchautoren, die sonst für die niederländische Tageszeitung "NRC Handelsblad" arbeiten. Rechtlich gesehen dürfte dieses Schweigen übrigens in Ordnung gewesen sein, da angeblich keine Finanzinformationen erbeutet wurden. Eine generelle Vorschrift zur Information über solche Vorfälle folgte erst Jahre später mit der Datenschutzgrundverordnung.

Informationen zu Hotelbuchungen sind schon seit jeher eine beliebtes Ziel für staatliche Hacker, da sie im Vorhinein Details zu den Bewegungen von Zielpersonen verraten, wie "Arstechnica" betont. So hat etwa im Jahr 2013 ein NSA Whistleblower eine vom britischen Geheimdienst GCHQ zynisch benannte Kampagne namens "Royal Concierge" ausgeplaudert, mit der die Buchungen bei 350 Hotels der Oberklasse weltweit verfolgt wurden.

Bei Booking.com hat man auf aktuelle Anfragen zu dem Thema bisher nicht reagiert. (apo, 12.11.2021)