Booking.com Datenleck: Die populäre Reisebuchungsplattform hat bestätigt, dass Hacker Anfang April 2026 auf Kundendaten zugegriffen haben. Betroffen sind Namen, Telefonnummern und detaillierte Buchungsinformationen von Millionen Nutzern weltweit. Bereits wenige Tage nach der Attacke begannen Betrüger, die gestohlenen Daten für gezielte WhatsApp-Phishing-Angriffe zu missbrauchen.
Das Booking.com Datenleck wurde am 12. April 2026 entdeckt, als das Unternehmen betroffenen Nutzern per E-Mail mitteilte, dass verdächtige Aktivitäten in Verbindung mit bestimmten Buchungen festgestellt worden seien. Am 13. April 2026 bestätigte Booking.com gegenüber Medien wie BleepingComputer und The Register, dass Unbefugte über kompromittierte Zugangsdaten von Hotelpartnern in die Systeme eingedrungen waren. Sicherheitsexperten beschreiben es als klassischen Supply-Chain-Angriff: Angreifer stahlen zunächst die Login-Daten von Partnerhotels und nutzten diese, um auf die Buchungsdaten der Gäste zuzugreifen. Diese Schwachstelle im Partner-Ökosystem war laut Experten seit Jahren bekannt.
Zu den gestohlenen Informationen gehören laut Booking.com vollständige Namen, E-Mail-Adressen, Telefonnummern sowie Buchungsdetails wie Hotelname, Check-in- und Check-out-Daten und private Nachrichten zwischen Gästen und Hotels. Zahlungsdaten und Passwörter seien hingegen nicht betroffen. Als Sofortmaßnahme setzte Booking.com die PINs aller betroffenen Buchungen zurück und informierte Nutzer direkt per E-Mail. Wie viele Nutzer betroffen sind, verweigerte das Unternehmen zu nennen.
Bereits wenige Tage nach dem Booking.com Datenleck registrierten Cybersecurity-Forscher von Constella Intelligence eine deutliche Zunahme personalisierter Phishing-Angriffe über WhatsApp. Die Nachrichten enthielten exakte Reisedaten der Empfänger – Hotelname, Buchungsnummer und Aufenthaltsdatum – und forderten unter verschiedenen Vorwänden zur Bestätigung von Zahlungsinformationen auf. Laut der Verbraucherzentrale Niedersachsen erscheinen die Nachrichten dadurch täuschend echt und werden von vielen Nutzern für legitime Kommunikation von Booking.com oder dem gebuchten Hotel gehalten.
Booking.com betonte in seinem Statement, das Unternehmen werde Kunden niemals auffordern, Kreditkartendaten per E-Mail, SMS, Telefon oder WhatsApp zu übermitteln oder Bankdaten preiszugeben, die von der ursprünglichen Buchungsbestätigung abweichen. Wer eine solche Nachricht erhält, soll diese sofort melden und keine Links anklicken oder Daten eingeben. Einen ähnlichen Vorfall gab es bei anderen Großunternehmen – wie beim Datenskandal bei Volkswagen, bei dem sensible Mitarbeiterdaten kompromittiert wurden.
Sicherheitsexperten empfehlen Booking.com-Nutzern, die eine E-Mail oder WhatsApp-Nachricht mit Bezug auf ihre Buchung erhalten, folgende Schritte: Niemals auf Links in unaufgeforderten Nachrichten klicken, die angeblich Booking.com oder ein Hotel repräsentieren. Alle Zahlungsanfragen ausschließlich über die offizielle Booking.com App oder Website abwickeln. Das eigene Konto-Passwort vorsorglich ändern und die Buchungsbestätigung auf ungewöhnliche Änderungen prüfen. Wer Opfer eines Betrugsversuchs geworden ist, sollte sofort Anzeige erstatten – ähnlich wie in aktuellen Warnungen der Polizei vor falschen Bankmitarbeitern, bei denen Betrüger ebenfalls mit persönlichen Daten operieren.
Der Vorfall wirft erneut die Frage nach der Verantwortung von Plattformen für die Sicherheit der Nutzerdaten auf. Booking.com arbeitet mit über 500.000 Partnerhotels weltweit zusammen und setzt dabei auf ein dezentrales Modell, das naturgemäß eine breite Angriffsfläche bietet. Branchenexperten fordern nach dem Booking.com Datenleck strengere Sicherheitsvorgaben für alle Partner und eine obligatorische Zwei-Faktor-Authentifizierung für Partnerportale. Das Unternehmen hat angekündigt, die Sicherheitsmaßnahmen zu verstärken, ohne jedoch konkrete Schritte zu nennen. Für betroffene Nutzer bleibt die Frage offen, wie ihre gestohlenen Daten langfristig missbraucht werden.
Quellen: BleepingComputer, The Register, it-daily.net, Verbraucherzentrale Niedersachsen, 20min.ch, urlaubspiraten.de
Texte werden mit Unterstützung von KI-Tools erstellt und vor Veröffentlichung redaktionell geprüft. Mehr dazu