Tienduizenden Nederlanders zijn getroffen door een hack bij het Franse campingboekingssysteem Secureholiday. Persoonlijke gegevens en boekingsdata liggen daardoor op straat. Cybercriminelen gebruiken die informatie voor geloofwaardige phishingmails met valse betaalverzoeken, blijkt uit onderzoek van EenVandaag.
Het boekingssysteem Secureholiday, waar veel Europese campings gebruik van maken, werd eind februari gehackt. Van 500 campings in vooral Frankrijk, Spanje en Italië zijn gegevens van 41.577 Nederlandse reserveringen gestolen. Het gaat om namen, e-mailadressen, reisbestemmingen, boekingsdata en betaalde bedragen. Dat bevestigde het Franse moederbedrijf Ctoutvert aan EenVandaag.
Ctoutvert is eigenaar van Secureholiday en volgens de eigen website actief in achttien landen. Het bedrijf regelt de boekingen voor 4.300 campings en is goed voor ongeveer 1,2 miljoen reserveringen per jaar. Volgens Ctoutvert is de helft van de gehackte boekingen afkomstig van Fransen. Op vragen over het exacte totaal aantal slachtoffers gaf het bedrijf geen antwoord.
Het beveiligingslek werd naar eigen zeggen dezelfde dag gedicht, maar de hack was toen al gepleegd. Dat de gegevens op straat lagen, kwam pas aan het licht toen criminelen in mei en juni mails verstuurden naar een grote groep onwetende kampeerders.
Geloofwaardige nepmails
In die mails werd verzocht een betaling via creditcard te bevestigen. Het bericht leek afkomstig van de camping en bevatte persoonlijke details tot aan de boekingsdata. Juist de vraag naar creditcardgegevens deed mensen uiteindelijk twijfelen. “Je kunt natuurlijk met de technieken die er nu zijn gewoon alles heel erg mooi namaken”, zegt Eunice Bom van de Fraudehelpdesk. De helpdesk kreeg dit jaar al bijna 1.100 meldingen van dit type oplichting binnen.
Moederbedrijf Ctoutvert informeerde kampeerders niet zelf. Wel meldde het de hack destijds bij de betrokken campings, zodat die hun gasten konden inlichten. Die waarschuwingen bereikten volgens EenVandaag veel gasten pas nadat mensen zelf aan de bel trokken. Inmiddels hebben veertien kampeerders zich gemeld die daadwerkelijk zijn opgelicht, onder wie zes Nederlanders.
Lees ook: ShinyHunters claimt datadiefstal bij groot internationaal zakenreisbureau
Reisbranche vaker doelwit
Secureholiday is niet de enige vakantiewebsite waar het reserveringssysteem dit jaar werd geraakt. Ook VacanceSelect, Vacansoleil, Best Western Hotels en Booking.com zijn recente voorbeelden. Vorig jaar werd reisorganisatie Sunweb slachtoffer van een vergelijkbare cyberaanval, waarbij klanten schimmige betalingsverzoeken kregen. Ook bij vakantieparkenbeheerder EuroParcs speelde eerder een datalek, en tientallen Nederlandse hotels werden getroffen via een gedeelde softwareleverancier.
De Fraudehelpdesk ziet pieken in januari, mei en juni, precies de perioden waarin mensen vakanties betalen. Beveiligingsonderzoekers wijzen erop dat criminelen daar bewust op inspelen. Volgens Bom is haar advies simpel: “Vraag echt na of het klopt voordat je ook maar iets doet.” De getroffen slachtoffers zijn volgens Ctoutvert in gesprek met de betreffende camping en hun bank.