Em 2016, um hacker que trabalhava para uma agência de inteligência dos EUA invadiu os servidores da Booking.com e roubou dados de usuários relacionados ao Oriente Médio, de acordo com o livro "De Machine: In de ban van Booking.com" escrito por três jornalistas do jornal nacional holandês NRC.

Eles relatam no livro que a violação foi constatada como "PIN-leak", pois ela envolveu PINs roubados de reservas. De acordo com os autores, a pessoa por trás do hack acessou milhares de reservas de hotéis envolvendo países do Oriente Médio, incluindo Arábia Saudita, Qatar e Emirados Árabes Unidos.

A investigação do caso não determinou qual agência estava por trás da invasão, porém, o que se sabe é que o hacker era americano e trabalhava para uma empresa que executava missões de serviços de inteligência dos EUA, mas isso veio ao conhecimento dos autores somente dois meses após o incidente.

Os dados vazados envolveram nomes de clientes da Booking.com e seus respectivos planos de viagens. Interessante ressaltar que, dados relacionados a hotéis e viagens são, há muito tempo, um produto muito buscado entre os hackers que trabalham para grandes organizações.

O incidente foi mantido em segredo

No livro também existe a informação de que a Booking.com optou por manter o incidente em segredo. A empresa, que tem sede em Amsterdã, tomou a decisão após ligar para o serviço de inteligência holandês, o AIVD, para investigar o vazamento dos dados. De acordo com informações, a empresa optou por não informar os titulares dos dados expostos, sobre o incidente ocorrido e nem notificou a Autoridade de Proteção de Dados Holandesa.

A Booking.com publicou uma nota dizendo que não tinha nenhuma exigência legal para divulgar a violação:

"Com o apoio de especialistas externos no assunto e seguindo a estrutura estabelecida pela Lei Holandesa de Proteção de Dados (a regulamentação aplicável antes do GDPR), confirmamos que nenhuma informação confidencial ou financeira foi acessada. A liderança na época trabalhou para seguir os princípios do DDPA, que orientava as empresas a tomarem medidas adicionais na notificação apenas se houvesse efeitos negativos adversos reais na vida privada dos indivíduos, para os quais nenhuma evidência foi detectada.".

Neste ano, a Booking.com foi multada em 475 mil euros (cerca de R$ 2,9 milhões) pela Autoridade de Proteção de Dados Holandesa devido a demora de 22 dias em informar sobre um outro vazamento de dados ocorrido em dezembro de 2018. De acordo com a legislação, o prazo máximo admitido é de 72 horas após descobrir a brecha de segurança.

Ainda não se sabe se a empresa será multada pela invasão ocorrida em 2016, já que ela chegou a comunicar uma autoridade governamental holandesa, apesar de não ter sido a responsável pela privacidade e segurança de dados.