Hollanda Veri Koruma Kurumu (DPA), tüm ihlallerin 72 saat içinde bildirilmesi gerektiğini belirten AB GDPR düzenlemelerini ihlal eden bir güvenlik olayını, olaydan 22 gün sonra bildirdiği için otel rezervasyon web sitesi Booking.com’a 475.000 € (560.000 $) para cezası verdi.
Para cezası, hackerların Birleşik Arap Emirlikleri’ndeki 40 otelin çalışanlarının Booking.com oturum açma kimlik bilgilerine erişim sağlamasının ardından Aralık 2018’de meydana gelen bir güvenlik ihlali nedeniyle para cezası verildi. O sırada, bilgisayar korsanları Booking.com platformuna erişti ve Hollandalı şirketin sitesi üzerinden BAE’de otel odası rezervasyonu yapan 4.109 kişinin ayrıntılarını topladı .
Davetsiz misafirler, 97 kartın güvenlik kodu da dahil olmak üzere 283 kişinin ödeme kartı verilerini de görüntülediler ve Hollandalı yetkililer, bilgisayar korsanlarının ek ödeme kartı bilgilerini toplamak için Booking.com çalışanı olarak poz veren bazı müşterileri de aradıklarını söyledi.
Hollandalı gizlilik izleme örgütü, 13 Ocak 2019’da ihlali öğrendiği için şirketi para cezasına çarptırdığını söyledi, ancak yetkilileri yalnızca standart üç günlük GDPR ihlali bildirim süresinin sona ermesinden 22 gün sonra 7 Şubat’ta bilgilendirdi.
Hollanda Veri Koruma Kurumu başkan yardımcısı Monique Verdier,
“Bu ciddi bir ihlal. İyi önlemler almış olsanız bile veri ihlali maalesef her yerde olabilir. Ancak müşterilerinizin zarar görmesini ve böyle bir veri ihlalinin tekrarlanmasını önlemek için bunu zamanında bildirmelisiniz. “
Booking.com suçu kabul ediyor, para cezasına itiraz etmiyor. Ancak birkaç noktayı açıklığa kavuşturmak istedi. Geç bildirimin nedeninin, bu olayın kendilerine geç bildirilmesiyle ilgili olduğunu ve Booking.com’un güvenlik uygulamaları veya söz konusu olayın genel olarak ele alınmasıyla bağlantılı olmadığını belirtiyorlar. Şirket sözcüsü şöyle diyor :
“2018’in sonundan itibaren yaşanan olayın kendisi ile ilgili olarak, az sayıda otelin Booking.com hesap giriş bilgilerini yanlışlıkla çevrimiçi dolandırıcılara sunmasına rağmen, Booking.com’a güç veren kod veya veritabanlarından herhangi bir ödün verilmediğini belirtmek önemlidir. 13 Ocak 2019’da ilk şüpheli faaliyet raporlarını aldıktan sonra, sorunu anlamak ve çözmek için çalışmaya başladık, ancak maalesef konuyu dahili olarak istediğimiz kadar hızlı bir şekilde iletemedik ve bu durum, Hollanda DPA’sının ceza vermesine neden oldu. Bu nedenle, ortaklarımız ve çalışanlarımız arasında önemli gizlilik önlemleri ve genel güvenlik süreçleri hakkında farkındalığı ve eğitimi artırmak için ek adımlar atarken, aynı zamanda dahili raporlama kanallarımızın hızını ve verimliliğini daha da optimize etmek için çalışıyoruz.”
Booking.com ayrıca Aralık 2018 ihlalinden etkilenen tüm müşterileri DPA’ya bildirmeden önce haberdar ettiklerini söyledi. Booking.com Hollandalı yetkililer tarafından para cezasına çarptırıldı çünkü şirket yasal olarak Amsterdam, Hollanda’da kayıtlı ve DPA’nın yetkisi altında.