Booking.com bevestigt cyberaanval maar hackers kregen geen toegang tot creditcards
Amsterdam, maandag, 13 april 2026.
Het Nederlandse reisplatform Booking.com kreeg te maken met een datalek waarbij criminelen klantgegevens inzagen. E-mailadressen, telefoonnummers en boekingsdetails zijn buitgemaakt, maar geen betaalgegevens of adressen. Het bedrijf heeft de hack gemeld bij de Autoriteit Persoonsgegevens en pincodes van reserveringen aangepast. Booking.com houdt het aantal getroffen klanten geheim.
Criminelen pakken e-mails en telefoonnummers maar geen creditcards
De hackers kregen toegang tot boekingsdetails, namen, e-mailadressen en telefoonnummers van klanten [1][2][3]. Geen financiële gegevens of adressen zijn buitgemaakt, benadrukt een woordvoerder van het Amsterdamse bedrijf [1][4]. Booking.com ontdekte de verdachte activiteiten en paste direct de pincodes van getroffen reserveringen aan [2][5]. Het bedrijf stuurde zondag 12 april 2026 waarschuwingsmails naar klanten en meldde het incident bij de Autoriteit Persoonsgegevens [1][3]. Hoeveel van de miljoenen dagelijkse gebruikers getroffen zijn, houdt Booking.com geheim [1][4].
Phishing-gevaar en eerdere problemen bij reisreus
Dit is niet het eerste cybersecurityprobleem voor Booking.com. In januari erkende het bedrijf al dat criminelen sinds 2023 via gehackte hotelaccounts phishingmails verstuurden naar gasten [4]. In 2018 kregen hackers via phishing toegang tot boekingsgegevens van meer dan 4.000 klanten, wat het bedrijf een boete van €475.000 opleverde omdat ze de hack 22 dagen te laat meldden [6]. Criminelen gebruiken nu gestolen gegevens zoals boekingsnummers en namen voor WhatsApp-phishing, waarbij ze zich voordoen als hotels en om creditcardgegevens vragen [2]. Booking.com raadt klanten aan niet op verdachte links te klikken en betalingsverificatie direct bij het hotel te controleren [2][5].
Economische impact voor consumenten en concurrent Basic-Fit ook getroffen
Voor consumenten betekent dit datalek extra waakzaamheid bij toekomstige boekingen. Criminelen kunnen de gestolen contactgegevens gebruiken voor gerichte phishingaanvallen, waarbij ze doen alsof hotels om betaling vragen [2][5]. Opvallend is dat dit datalek samenvalt met een grote hack bij fitnessketen Basic-Fit, waarbij gegevens van 1 miljoen leden zijn buitgemaakt, waaronder 200.000 Nederlanders [3][7]. Bij Basic-Fit gingen wel bankrekeningnummers verloren, wat het risiko op financiële fraude vergroot [7]. Deze golf van cyberaanvallen toont aan hoe kwetsbaar grote Nederlandse bedrijven zijn voor criminelen die het voorzien hebben op persoonlijke gegevens van miljoenen consumenten [3][6].