Zeker honderd Nederlandse hotels zijn slachtoffer van een grootschalig datalek. Hackers hebben daardoor toegang gekregen tot reserveringsgegevens van duizenden gasten. Dat bevestigt horecaconcern Hospecs aan onder andere de NOS. Gasten met een actieve boeking lopen risico om te worden benaderd met overtuigende phishingberichten en valse betalingsverzoeken.
Managing director Tim Vissers van Hospecs plaatste een oproep op LinkedIn nadat het bedrijf signalen ontving van datalekken bij aangesloten hotels. De reacties kwamen snel binnen. “Er komen inmiddels elke minuut nieuwe meldingen binnen”, zegt Vissers. “Dit probleem is echt enorm.” Inmiddels ontvangt hij ook meldingen uit België en Ierland.
Het lek treft contactinformatie van hotelgasten, aankomstdata en vertrekdata. Gasten met een actieve reservering worden vervolgens benaderd door criminelen, die hen proberen te bewegen extra geld over te maken. ICT Magazine heeft tientallen van deze berichten ingezien, waarvan sommige erg overtuigend overkomen. Daarbij lieten verschillende lezers weten dat ze hun hotels op de hoogte hadden gebracht, maar dat sommige partijen simpelweg lieten weten niet gehackt te zijn of daar niks vanaf te weten.
Criminelen spelen in op boekingsgegevens
Wat dit incident bijzonder gevaarlijk maakt, is de precisie waarmee de aanvallers te werk gaan. Ze beschikken namelijk over echte reserveringsdata, waardoor ze gasten geloofwaardig kunnen benaderen. Die informatie zou normaal alleen bij het hotel en de gast bekend mogen zijn.
Hoe de hackers precies toegang hebben gekregen, is nog niet duidelijk. Vissers denkt niet dat het gaat om een beveiligingsincident bij de hotels zelf. Het probleem ligt vermoedelijk bij een gezamenlijke softwareleverancier die door meerdere hotels wordt gebruikt. Een onderzoek naar de oorzaak loopt nog.
Patroon in de reisbranche
Het is niet de eerste keer dat de hotelbranche te maken krijgt met dit soort aanvallen. In september 2025 werd concern Van der Valk slachtoffer van een vergelijkbare aanval, waarbij reservatiegegevens van gasten in handen van criminelen vielen. Die werden vervolgens benaderd met valse betalingsverzoeken die aansloten op hun daadwerkelijke boeking. Ook reisorganisatie Sunweb werd eerder getroffen door een cyberaanval, waarbij namen, e-mailadressen en boekingsinformatie werden buitgemaakt.
Booking.com was in januari 2026 nog het middelpunt van een vergelijkbaar incident. Criminelen stuurden via gekaapte hotelaccounts op het platform valse betaalverzoeken aan gasten, waarbij het aantal slachtoffers jaarlijks toeneemt. De Autoriteit Persoonsgegevens verplicht organisaties een datalek binnen 72 uur te melden. Of en wanneer Hospecs of de betrokken hotels dat al hebben gedaan, is niet bekendgemaakt. Het onderzoek naar de precieze oorzaak loopt nog.