miércoles, 7 de abril de 2021

Booking ha recibido una multa por parte del GDPR de 558.000 dolares

Multa de 475.000 euros a Booking

      Booking uno de los portales de reserva de hoteles mas grande del mundo ha sido multado por la cifra de 558.000 dolares que equivalen a 475.000 euros, la multa ha sido impartida por el Reglamento General de Protección de Datos (GDPR).

La filtración por la que ha sido multada la compañía fue realizada en 2018 por unos estafadores telefónicos que atacaron a 40 empleados de varios hoteles ubicados en los Emiratos Árabes Unidos (EAU).

En este ataque los estafadores obtuvieron las credenciales de los empleados consiguiendo de esta forma credenciales de acceso al sistema de Booking, una vez obtenido acceso a este sistema los estafadores pudieron obtener los datos personales de más de 4.100 clientes los cuales ya habían realizado una reserva de habitación de hotel en los Emiratos Árabes Unidos. De estos clientes se obtuvieron los datos de las tarjetas de créditos de 283 de estos clientes, incluso se comprometieron los códigos de seguridad de 97 de los clientes.

Los clientes que no vieron expuesta su tarjeta de crédito y que solo vieron expuestos su nombre, datos de contacto y información de su reserva de hotel no están fuera de peligro ya que los estafadores utilizaron estos datos para realizar phishing. Está información fue aportada por la vicepresidenta de la Autoridad Holandesa de Protección de Datos, Monique Verdier.

Los estafadores utilizaron la información obtenida de los clientes para intentar sacar dinero de estos por teléfono o correo electrónico indicando que eran el hotel, esto era muy creíble debido a que los estafadores tenían la información exacta de las reservas de habitación. En esta estafa indicaban al cliente si querían realizar el pago en ese instante a una cuenta que realmente era la del estafador.

Booking recibió la notificación del incidente el 13 de enero de 2019, aunque no decidió comunicar a la Autoridad Holandesa de Protección de Datos hasta el 7 de febrero, 22 días después. Debido a esta tardanza a la hora de notificar el incidente el GDPR ha decidido imponer una multa a la compañía, esto es debido a que el propio GDPR tiene una norma donde es obligatorio informar de estos incidentes en menos de 72 horas del descubrimiento de dicho incidente.


No hay comentarios:

Publicar un comentario