Gli hacker accedono ai dati di 4.000 clienti, ma Booking.com tarda 22 giorni prima di notificare il data breach e viene sanzionato dall’autorità
Il sito web di prenotazioni online di viaggi Booking.com è stato sanzionato con una multa da 475.000 euro per non aver notificato una violazione dei dati entro i termini stabiliti dal Gdpr. Booking.com aveva infatti subìto un data breach nel 2018, quando dei truffatori telefonici avevano preso di mira 40 dipendenti in vari hotel negli Emirati Arabi Uniti.
Dopo che gli hacker avevano ottenuto le credenziali di accesso al sistema di Booking.com, erano stati in grado di accedere ai dati personali di oltre 4.100 clienti che avevano effettuato prenotazioni di camere d'albergo negli Emirati Arabi Uniti tramite il noto sito di prenotazioni online, riuscendo a vedere i dati della carta di credito di 283 clienti e in 97 casi anche il codice CVV, oltre ai loro nominativi, indirizzi e numeri di telefono, nonché i dettagli delle loro prenotazioni. I criminali informatici avevano anche cercato di ottenere i dettagli della carta di credito di altre vittime fingendosi dipendenti di Booking.com tramite e-mail o telefono. Il tutto naturalmente all'insaputa dei diretti interessati.
Booking.com, che ha sede nei Paesi Bassi, era stata informata della violazione il 13 gennaio 2019, ma non ne aveva fatta notificazione all'autorità olandese per la protezione dei dati fino al successivo 7 febbraio, quindi 22 giorni dopo il termine di 72 ore posto dall’art. 33 del Regolamento Ue sulla protezione dei dati personali, ritardo che aveva così impedito all’autorità per la protezione dei dati anche di ordinare a Booking.com di avvisare gli interessati coinvolti nella violazione affinché essi avessero potuto prendere precauzioni per evitare (o comunque limitare) illecite sottrazioni di denaro, furti d’identità, o altre truffe propinate attraverso attività di phishing.
