Según los informes, un pirata informático vinculado a agencias de espionaje estadounidenses no especificadas atacó el sitio de reservas de hoteles Booking.com en 2016, apuntando a diplomáticos extranjeros y otras personas en el Medio Oriente. La compañía no notificó a los clientes sobre el ataque.
El presunto autor, apodado "Andrew", robó los "detalles de miles de reservas de hotel" en los países de Oriente Medio, según un informe publicado el miércoles por el periódico holandés NRC Handelsblad.
El artículo explosivo citaba acusaciones hechas en un nuevo libro por sus periodistas.
Un empleado de la sede de Ámsterdam de la firma conjunta estadounidense y holandesa descubrió el hack por accidente después de encontrar un acceso no autorizado a través de un servidor mal protegido.
La violación le dio a Andrew y sus asociados acceso a los datos del cliente, planes de viaje y números de identificación personal (PIN) de usuario únicos.
El ataque fue verificado por tres ex especialistas en seguridad y un gerente de la empresa en el momento de la violación. Al reclutar investigadores privados de EE. UU., El equipo de seguridad de Booking.com determinó dos meses después que Andrew trabajaba para una empresa que realizaba asignaciones de los servicios de inteligencia de EE. UU. La agencia real involucrada en el incidente no fue identificada.
Aunque Booking.com alertó a la agencia de inteligencia holandesa AIVD, aparentemente no notificó a los usuarios ni a la Autoridad Holandesa de Protección de Datos (AP), lo que luego justificó esta decisión con el argumento de que no estaba legalmente obligado a hacerlo en ese momento.
El ataque es anterior a la implementación del Reglamento General de Protección de Datos (GDPR) de la UE, que requiere que las filtraciones de datos sean reveladas a las autoridades estatales.
Sin embargo, fuentes no identificadas revelaron que los especialistas en TI de la compañía se sintieron incómodos con la decisión de la gerencia, basada en el consejo del bufete de abogados Hogan Lovells, con sede en Londres, de mantener la violación en secreto. Según las leyes de privacidad aplicables de la época, la empresa todavía estaba obligada a informar a las personas afectadas cuando el robo de datos "probablemente tendría efectos adversos en la vida privada de las personas".
Afirmando que "no se accedió a información confidencial o financiera" en la filtración, la compañía dijo en un comunicado que su "liderazgo en ese momento trabajaba para seguir los principios de la Ley de Protección de Datos holandesa".
En virtud de esa ley, se aconsejaba a las empresas que emitieran una notificación "solo si existían efectos negativos adversos reales en la vida privada de las personas, de los que no se detectaban pruebas".
El informe llega casi exactamente ocho años después de que el denunciante de la NSA Edward Snowden revelara la existencia de un programa especial llamado 'Royal Concierge' dirigido por la agencia de espionaje británica GCHQ que realizaba vigilancia en más de 350 hoteles que albergan a diplomáticos y funcionarios extranjeros.
Si bien los documentos de Snowden no identificaron ningún sitio web de reserva específico, un ex especialista en seguridad de Booking.com le dijo al periódico holandés que sería "una locura si no estuviera en esa lista".
https://www.rt.com/news/540085-us-spy-agency-hacker-booking-site/
