Er circuleren WhatsApp-berichten van cybercriminelen die zich voordoen als de klantenservice van Bastion Hotels. Dat blijkt uit een e-mail van de hotelketen waar deze site inzage in heeft gekregen. Bastion waarschuwt klanten om niet op links te klikken en niet te reageren. Het lijkt erop dat er mogelijk klantgegevens zijn gelekt, al is nog onduidelijk waar het lek precies zit. Dat kan bij Bastion zelf zijn, maar ook bij boekingsplatforms zoals Booking.com. Intussen melden ook andere hotels dat gasten doelwit zijn van phishingpogingen.
Op vragen over de situatie wil Bastion voorlopig niet inhoudelijk reageren. Een woordvoerder laat weten dat het bedrijf momenteel “andere prioriteiten” heeft. Op de website van Bastion staat op dit moment niets over een mogelijk datalek of maatregelen.
Verdachte WhatsApp-berichten
Ivo, een gast van Bastion Hotels, schrok toen hij gisteren ineens WhatsApp-berichten kreeg van een bedrijf uit Brazilië dat opvallend veel over hem wist. Niet alleen zijn naam en telefoonnummer werden genoemd, maar ook details van zijn hotelboeking:
Volgens Ivo gaat het om informatie die eenvoudig kan worden gebruikt voor fraude, identiteitsmisbruik en gerichte phishing.
"Laten we dit verduidelijken"
Ivo stuurde screenshots van de berichten. De teksten zijn wat vaag, maar duidelijk bedoeld om hem tot een handeling te verleiden. In het bericht staat onder meer: "We begrijpen dat u zich zorgen maakt over betalingen, dus laten we dit even verduidelijken."
Daarna volgt een uitleg dat het boekingsbedrag tijdelijk op de bankpas geblokkeerd zou worden en dat de gast dit via een pushmelding in de bankapp moet bevestigen. Dat zou volgens de oplichters slechts één minuut duren. Ivo vertrouwde het niet en blokkeerde de afzender.
Meer gasten melden zich
Volgens een andere Bastion-gast gebeurt dit niet alleen bij hem. Hij zegt Bastion zowel telefonisch als per e-mail om opheldering te hebben gevraagd, maar kreeg volgens eigen zeggen weinig concreet antwoord. "Ze zeggen alleen dat ze ermee bezig zijn. Ik heb gevraagd of het lek gemeld is, maar daar krijg ik geen reactie op."
Meldplicht bij datalekken
Volgens Ivo is het vreemd dat Bastion zelf nog niets naar buiten heeft gebracht over wat er mogelijk gelekt is. "Gezien de gegevens die blijkbaar rondgaan lijkt het me de taak van de hotelketen om klanten te informeren wat er precies gelekt is." Onder de Europese privacywetgeving (AVG) moeten organisaties ernstige datalekken melden bij de Autoriteit Persoonsgegevens. De toezichthouder kan vanwege privacyregels niet bevestigen of er vanuit de hotelbranche een melding is gedaan.
Bastion zwijgt voorlopig
Bastion werd woensdagochtend uitgebreid benaderd met vragen en het verhaal van Ivo.
De woordvoerder wilde niet telefonisch reageren en liet schriftelijk weten: "We begrijpen uw belangstelling, maar hebben momenteel andere prioriteiten. Zodra er meer informatie bekend is komen we bij u terug."
Niet de eerste keer in de hotelbranche
Bastion Hotels heeft meer dan dertig vestigingen en behoort daarmee tot de grotere hotelketens van Nederland, al zijn ketens zoals Fletcher en Van der Valk nog groter. Bij Van der Valk ging het vorig jaar ook mis. Daar konden hackers reserveringsgegevens van enkele honderden gasten bekijken bij een Van der Valk Exclusief-hotel in Almere. Volgens het hotelbedrijf gebeurde dat nadat een medewerker op een kwaadaardige link had geklikt. Die gegevens werden vervolgens gebruikt voor oplichtingspogingen. Sommige gasten maakten geld over naar een verkeerd rekeningnummer. Van der Valk liet toen weten dat alle schade volledig werd vergoed.
Foto ter illustratie (Foto: ChatGPT)
Source: Fok frontpage