Data van 302 klanten gelekt bij Amsterdams Van der Valk-hotel: ten minste één klant slachtoffer

Het Van der Valk-hotel op de Zuidas blijkt getroffen te zijn door een datahack. Dat meldt De Telegraaf . Gegevens van ten minste 302 klanten zijn daarmee gestolen. De hack kwam aan het licht nadat één van die klanten voor 200 euro opgelicht bleek te zijn. Het hotel zou inmiddels een mail hebben gestuurd waarin klanten geïnformeerd worden over de hack, iets wat gebruikelijk is wanneer persoonsgegevens van klanten zijn gelekt. Volgens De Telegraaf gebeurde dit een uur nadat de krant contact had gezocht met Van der Valk. De directeur zegt tegenover de krant dat dit niet eerder kon 'omdat het allemaal zorgvuldig moest gebeuren' en om klanten 'niet onnodig ongerust te maken.' Werkwijze Hackers maakten een inlogpagina na voor medewerkers, die daardoor dachten dat ze in hun werkomgeving inlogden, maar in werkelijkheid hun inloggegevens prijsgaven. Met die inloggegevens konden de hackers vervolgens adressen, telefoonnummers en boekingsgegevens van klanten inzien. Met die persoonsgegevens konden de oplichters vervolgens klanten van het hotel benaderen, en omdat ze de naam en de boekingsgegevens kenden, konden ze zich makkelijk voordoen als het hotel. Dat gebeurde ook bij de klant van wie nu bekend is dat ze is opgelicht. 200 euro Nadat de klant een kamer had gereserveerd, kreeg ze vorige week een appbericht dat haar reservering was geannuleerd. Omdat ze in het bericht bij naam werd genoemd en de boekingsgegevens klopten met wat ze had ingevuld, geloofde ze dat Van der Valk de afzender was. De klant klikte vervolgens op de link in het bericht en gaf haar creditcardgegevens door. Even later werd er 200 euro afgeschreven, ongeveer de prijs die ze voor de kamer had moeten betalen.  Toen er niet gereageerd werd op appjes die ze naar dat nummer stuurde, besloot de vrouw naar het hotel te bellen. Pas toen zou het bedrijf erachter zijn gekomen dat hun gegevens waren buitgemaakt.  Afhandeling De vrouw zegt tegen de krant dat ze niet te spreken is over de manier waarop het hotel met de oplichting om is gegaan. "Eerst zeiden ze dat het mijn eigen schuld was en pas toen ik volhield dat hun gegevens in de nepberichten stonden, gaven ze toe dat ze gehackt waren." Het hotel zou de klant later een mail hebben gestuurd waarin haar geadviseerd wordt om de oplichting bij de politie te melden.  Bedrijven zijn verplicht om een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. Het hotel zegt tegen De Telegraaf dat ze die melding hebben gemaakt, maar ze zeggen er niet bij wanneer ze dat hebben gedaan. Het hotel was tegenover AT5 niet beschikbaar voor commentaar.