圈小蛙
根据爆炸性的披露,美国和荷兰共同拥有的Booking.com在2016年被美国攻击者非法访问——而该公司在意识到发生了什么时没有告诉任何人。
根据三名荷兰记者撰写的新书,这名被指控的恶棍名叫“安德鲁”,据说他窃取了“中东国家数以千计的酒店预订信息”。
他们的雇主,荷兰NRC Handelsblad,本周报道了这些指控,声称Booking.com依靠总部设在伦敦的法律公司Hogan Lovells的法律建议,说它没有义务通知任何人这次攻击。
据称,该漏洞是在“安德鲁”和他的同伙偶然发现一个安全状况不佳的服务器后发生的,该服务器让他们获得了个人身份证号码(PIN),似乎是唯一的客户账户识别代码。在那里,歹徒能够窃取在中东居住和逗留的人的预订细节副本。NRC Handelsblad将此与美国针对外国外交官和该地区其他相关人员开展的间谍活动联系起来。
据报道,虽然住宿预订网站在其内部调查发现“安德鲁”与美国间谍机构有联系后,向荷兰AIVD间谍机构寻求帮助,但它当时没有通知受影响的客户或荷兰的数据保护当局。
Booking.com的一位发言人称:"在外部主题专家的支持下,并遵循《荷兰数据保护法》(GDPR之前的适用法规)建立的框架,我们确认没有敏感或财务信息被访问。“
”当时的领导层努力遵循《荷兰数据保护法》的原则,该法指导公司只有在对个人的私人生活产生实际不利的负面影响时才采取进一步的通知措施,对此没有发现任何证据。“
该漏洞发生在欧盟《通用数据保护条例》(GDPR)之前,这意味着今天大家熟悉的数据保护规则(大部分)规定不向国家当局披露数据泄露是非法的,但在当时并不存在。
今年早些时候,Booking.com在4100人的个人数据被犯罪分子非法获取后,被荷兰数据保护当局罚款47.5万欧元。在该案中,阿联酋酒店的员工被社会工程出他们在平台上的账户登录信息。