Booking.com Datenleck April 2026: Die Anatomie eines Supply-Chain-Angriffs
Schützen Sie Ihre Reiseplanung vor Kriminellen. Jetzt Darknet-Radar aktivieren!
Am 13. April 2026 bestätigte Booking.com einen gravierenden Sicherheitsvorfall. Während die Kernsysteme des Reise-Giganten laut offiziellen Angaben intakt blieben, gelang es Angreifern, die dezentralen Endpunkte zahlreicher Hotelpartner weltweit zu infiltrieren. Das Ergebnis: Ein massiver Abfluss sensibler Kundendaten, der den Weg für hyper-personalisierte Betrugswellen ebnet.
Auf einen Blick: Der Booking.com Vorfall
- Betroffene Daten: E-Mail-Adressen, Namen, Telefonnummern & Buchungsdetails.
- Angriffsvektor: Supply Chain Attack via Hotel-Extranet-Zugänge.
- Hauptgefahr: 'I Paid Twice'-Scams direkt über die offizielle App.
- Tätergruppe: Storm-1865 (Spezialisten für Hospitality-Phishing).
Dieser Vorfall markiert einen kritischen Wendepunkt. Wenn Angreifer die Identität von legitimen Unterkunftsanbietern kapern und über die offiziellen Kommunikationskanäle der Plattform mit Ihnen interagieren, wird das fundamentale Vertrauensverhältnis zwischen Verbraucher und Dienstleister kompromittiert. In diesem Artikel dekonstruieren wir die Ereignisse und zeigen auf, wie Sie Ihre digitale Identität schützen.
Chronologie der Ereignisse
Die Bekanntgabe erfolgte koordiniert, nachdem Kunden weltweit in der Nacht auf Montag Warnmeldungen über "verdächtige Aktivitäten" erhielten. Booking.com reagierte mit einem massenhaften Reset der Buchungs-PINs, um den unbefugten Zugriff auf Reservierungsdetails zu unterbinden.
| Zeitpunkt | Ereignis | Details |
|---|---|---|
| Vorab-Phase | Partner-Phishing | Gezielte Angriffe auf Hotelrezeptionen via 'ClickFix'-Malware zur Erbeutung von Extranet-Logins. |
| 13. April (Nacht) | Datenabfluss | Exfiltration von E-Mail-Adressen und Reisedetails durch Kaperung aktiver Sessions. |
| 13. April (Morgen) | Reaktion | Massenhafte PIN-Resets und offizielle Warnung an betroffene Gäste weltweit. |
Warten Sie nicht auf die offizielle Benachrichtigung. Prüfen Sie jetzt kostenlos auf unserer Startseite, ob Ihre E-Mail in aktuellen Leaks auftaucht.
Die technische Anatomie: Infiltration via 'ClickFix'
Die Bedrohungsakteure, primär der Gruppe Storm-1865 zugeordnet, nutzten eine raffinierte Social-Engineering-Methode namens "ClickFix". Dabei wird Hotelmitarbeitern eine fingierte Fehlermeldung (z.B. ein angeblich defektes Buchungs-PDF) angezeigt. Die Lösung: Das Opfer soll eine Tastenkombination drücken, die ein bösartiges PowerShell-Skript ausführt.
-
Session Hijacking: Die Malware stiehlt aktive Sitzungscookies. Damit umgehen Angreifer die Zwei-Faktor-Authentifizierung (2FA), da das System glaubt, der legitime Mitarbeiter sei bereits eingeloggt.
-
XWorm RAT: In über 50 % der Fälle kam der Remote Access Trojaner 'XWorm' zum Einsatz, der volle Kontrolle über die Rezeptions-PCs ermöglichte.
Security Alert / Real Talk
Kriminelle brauchen heute kein Passwort mehr. Wenn sie Ihr Session-Cookie stehlen, "sind" sie bereits Sie. Dies macht herkömmliche Schutzmaßnahmen nahezu wirkungslos, sobald Ihr Endgerät kompromittiert wurde.
Der 'I Paid Twice' Betrug: Psychologische Kriegsführung
Mit den erbeuteten Daten starten die Täter die sogenannte "I Paid Twice"-Kampagne. Da sie Zugriff auf das interne Nachrichtensystem von Booking.com haben, schreiben sie Gäste direkt an. Die Nachricht wirkt absolut authentisch: Sie erscheint im echten Chat-Verlauf unter vorherigen Gesprächen mit dem Hotel.
Die Betrüger behaupten, die Zahlung sei fehlgeschlagen oder eine zusätzliche Kaution sei nötig. Unter Zeitdruck (Drohung der Stornierung binnen 24 Stunden) werden Gäste auf gefälschte Zahlungsportale gelockt, die das Booking.com-Design perfekt kopieren – inklusive korrekter Reisedaten und Namen.
Ist Ihre E-Mail im Darknet?
Datenlecks wie bei Booking.com sind Goldgruben für Identitätsdiebe. Unser Darknet-Radar überwacht kriminelle Foren rund um die Uhr und schlägt sofort Alarm.
Jetzt Darknet-Check startenRegulatorischer Druck: Warum jetzt?
Die schnelle Reaktion von Booking.com am 13. April ist auch den Lehren der Vergangenheit geschuldet. Im Jahr 2020 wurde das Unternehmen zu einer Strafe von 475.000 Euro verurteilt, weil ein ähnlicher Vorfall erst nach 22 Tagen gemeldet wurde. Unter der strengen DSGVO gilt heute eine 72-Stunden-Frist.
Interessanterweise ist Booking.com nicht allein: Am selben Tag meldeten auch die Fitnesskette Basic-Fit und zuvor der Provider Odido massive Datenabflüsse in den Niederlanden. Diese Häufung unterstreicht das enorme Interesse krimineller Syndikate an zentralisierten PII-Datenbanken (Personally Identifiable Information).
Wie Sie sich jetzt schützen können
Wenn Sie eine Reise über Booking.com gebucht haben, sollten Sie folgende Schritte zwingend beachten:
- Zahlungsaufforderungen ignorieren: Booking.com oder Hotels fordern Sie niemals via Chat oder WhatsApp auf, Zahlungen über externe Links zu "verifizieren".
- Direkter Kontakt: Rufen Sie das Hotel unter der offiziellen Nummer an (nicht die Nummer aus dem Chat!), um den Status Ihrer Zahlung zu prüfen.
- Daten minimieren: Je weniger Broker Ihre Daten speichern, desto geringer ist der Schaden bei einem Leck. Lassen Sie Ihre Profile systematisch löschen.
Ein Datenleck bei einer Plattform ist oft nur der Anfang. Kriminelle füttern mit diesen Puzzleteilen ihre Datenbanken. Lassen Sie Ihre Daten bei über 50 Brokern löschen, um Ihre digitale Angriffsfläche nachhaltig zu verkleern.
Sind meine Kreditkartendaten sicher?
Warum hilft mir das Löschen bei Datenbrokern?
Machen Sie sich unsichtbar.
Sichern Sie Ihre digitale Zukunft. Mit unserem Darknet-Radar und dem automatisierten Löschservice für Datenbroker holen Sie sich Ihre Souveränität zurück.
SSL-verschlüsselt & DSGVO-konform