Booking ha recibido una multa por parte del GDPR de 558.000 dolares

Multa de 475.000 euros a Booking

Booking uno de los portales de reserva de hoteles mas grande
del mundo ha sido multado por la cifra de 558.000 dolares que equivalen a
475.000 euros, la multa ha sido impartida por el Reglamento General de
Protección de Datos (GDPR).

La filtración por la que ha sido multada la compañía fue
realizada en 2018 por unos estafadores telefónicos que atacaron a 40 empleados
de varios hoteles ubicados en los Emiratos Árabes Unidos (EAU).

En este ataque los estafadores obtuvieron las credenciales
de los empleados consiguiendo de esta forma credenciales de acceso al sistema
de Booking, una vez obtenido acceso a este sistema los estafadores pudieron
obtener los datos personales de más de 4.100 clientes los cuales ya habían
realizado una reserva de habitación de hotel en los Emiratos Árabes Unidos. De
estos clientes se obtuvieron los datos de las tarjetas de créditos de 283 de
estos clientes, incluso se comprometieron los códigos de seguridad de 97 de los
clientes.

Los clientes que no vieron expuesta su tarjeta de crédito y
que solo vieron expuestos su nombre, datos de contacto y información de su
reserva de hotel no están fuera de peligro ya que los estafadores utilizaron
estos datos para realizar phishing. Está información fue aportada por la
vicepresidenta de la Autoridad Holandesa de Protección de Datos, Monique
Verdier.

Los estafadores utilizaron la información obtenida de los
clientes para intentar sacar dinero de estos por teléfono o correo electrónico
indicando que eran el hotel, esto era muy creíble debido a que los estafadores tenían
la información exacta de las reservas de habitación. En esta estafa indicaban al
cliente si querían realizar el pago en ese instante a una cuenta que realmente
era la del estafador.

Booking recibió la notificación del incidente el 13 de enero
de 2019, aunque no decidió comunicar a la Autoridad Holandesa de Protección de Datos
hasta el 7 de febrero, 22 días después. Debido a esta tardanza a la hora de notificar
el incidente el GDPR ha decidido imponer una multa a la compañía, esto es
debido a que el propio GDPR tiene una norma donde es obligatorio informar de
estos incidentes en menos de 72 horas del descubrimiento de dicho incidente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity