Шпионское агентство США попросило хакера украсть данные иностранных дипломатов, утверждают журналисты
Сообщается, что в 2016 году хакер, связанный с неуказанными американскими шпионскими агентствами, атаковал сайт бронирования отелей Booking.com, нацелившись на иностранных дипломатов и других лиц на Ближнем Востоке. Компания не уведомляла клиентов о взломе.
Предполагаемый преступник по кличке «Эндрю» украл «детали тысяч забронированных номеров в отелях» в странах Ближнего Востока, согласно сообщению, опубликованному в среду голландской газетой NRC Handelsblad. В статье-разорвавшейся бомбе цитировались обвинения, выдвинутые журналистами в новой книге.
Сотрудник штаб-квартиры совместной американо-голландской фирмы в Амстердаме обнаружил взлом случайно, обнаружив несанкционированный доступ через плохо защищенный сервер. Нарушение предоставило Эндрю и их сотрудникам доступ к данным клиентов, планам поездок и уникальным личным идентификационным номерам (PIN) пользователей.
Взлом был подтвержден тремя бывшими специалистами по безопасности и менеджером компании на момент взлома. Привлекая американских частных детективов, служба безопасности Booking.com через два месяца установила, что Эндрю работал в компании, выполнявшей задания спецслужб США. Фактическое агентство, причастное к инциденту, не установлено.
Хотя Booking.com предупредил голландское разведывательное агентство AIVD, оно, по-видимому, не уведомило пользователей или Голландское управление по защите данных (AP) — позже обосновав это решение тем, что в то время это не требовалось по закону. Взлом произошел до введения в действие Общего регламента ЕС по защите данных (GDPR), который требует сообщать государственным органам об утечках данных.
Однако неназванные источники сообщили, что ИТ-специалистам компании не понравилось решение руководства — основанное на совете лондонской юридической фирмы Hogan Lovells — держать нарушение в секрете. Согласно действовавшим в то время законам о конфиденциальности, компания по-прежнему была обязана сообщать пострадавшим лицам, когда кража данных «может иметь неблагоприятные последствия для частной жизни людей».
Утверждая, что в результате утечки «не было доступа к конфиденциальной или финансовой информации», компания заявила в своем заявлении, что ее «руководство в то время стремилось следовать принципам Закона о защите данных Нидерландов». В соответствии с этим законом компаниям рекомендовалось направлять уведомление «только в том случае, если имело место фактическое негативное воздействие на частную жизнь людей, свидетельств которого не было обнаружено».
Сообщение появилось почти ровно через восемь лет после того, как информатор АНБ Эдвард Сноуден сообщил о существовании специальной программы под названием «Королевский консьерж», проводимой британским шпионским агентством GCHQ, которая провела наблюдение за более чем 350 отелями, в которых размещались иностранные дипломаты и официальные лица.
Хотя в документах Сноудена не было указано никаких конкретных веб-сайтов бронирования, бывший специалист по безопасности Booking.com сказал голландской газете, что было бы «безумием, если бы [it] не были в этом списке ».
