Booking.com é multado em €475.000 por reportar incidente tardiamente

Na última quarta-feira (31) a Autoridade de Proteção de Dados holandesa, o DPA, multou o site de reservas de hotéis Booking.com em € 475.000 (US $ 560.000) por relatar um incidente de segurança 22 dias após a ocorrência. O prazo ultrapassa significantemente o limite estabelecido pelo GDPR, que determina que todas as violações devem ser divulgadas no prazo de, até, 72 horas aos titulares dos dados afetados.

O critério de territorialidade da sanção decorre do fato da sede do Booking.com estar legalmente registrada na Holanda, portanto, sob a fiscalização do DPA.

De acordo com o documento oficial da sanção, a multa foi aplicada por uma violação de segurança ocorrida em dezembro de 2018, depois que hackers conseguiram acesso às credenciais de login do Booking.com de funcionários de 40 hotéis nos Emirados Árabes Unidos .

Na época, os hackers acessaram a plataforma Booking.com e utilizando técnicas de engenharia social, coletaram os dados pessoais de 4.109 pessoas que reservaram um quarto de hotel nos Emirados Árabes Unidos por meio do site da empresa holandesa.

O ataque

Os invasores também visualizaram os dados do cartão de crédito utilizado como meio de pagamento de 283 pessoas, incluindo o código de segurança de 97 cartões. As autoridades holandesas disseram que os hackers também ligaram para alguns clientes se passando por funcionários da Booking.com para coletar detalhes adicionais do cartão de pagamento.

A empresa afirmou ao site The Register que não houve danos em seus sistemas internos, acrescentando que o incidente foi “isolado em 40 hotéis nos Emirados Árabes Unidos onde os parceiros forneceram os detalhes de login em suas contas do Booking.com para criminosos online. “

Dados afetados

O DPA acrescentou que os dados afetados incluíam nomes, sobrenomes, endereços, números de telefone, datas de check-in e check-out, preço total da reserva, números de reserva, qualquer correspondência entre o hotel e os hóspedes e – para 283 partes – seus detalhes de cartão de pagamento.

“Esta é uma violação grave”, disse Monique Verdier, vice-presidente do DPA. “’Infelizmente, uma violação de dados pode acontecer em qualquer lugar, mesmo que você tenha tomado todas as precauções. Mas, para evitar maiores danos aos seus clientes e a recorrência de tal violação de dados, você deve relatar isso a tempo. ”

Booking.com admite a falha e não contesta multa

Solicitado a comentar, um porta-voz da Booking.com emitiui uma nota de responsabilização ao site The Recrod, admitndo a falha da empresa na comunicação do incidente:
“Agradecemos a comunicação aberta com o DPA sobre este assunto e uma maior clareza que esta decisão traz para Booking.com e à outras empresas em relação aos requisitos de notificação de incidentes sob o olhar do GDPR”, afirmou o porta voz, por e-mail.

O porta voz continua, esclarecendo que a multa foi especificamente para o descumprimento do prazo, e não ao tratamento inadequado, de forma generalizada:
“É importante notar que a multa do DPA se refere especificamente à notificação tardia a eles deste incidente e não está ligada às práticas de segurança da Booking.com, nem ao tratamento geral do incidente em questão. Na verdade, o relatório do DPA reconhece o tratamento transparente e aberto da Booking.com desse incidente, incluindo como, consequentemente, apoiamos os clientes e parceiros afetados, o que os levou a realmente reduzir o valor padrão da multa em € 50.000”

Você pode conferir o documento oficial da sanção, aqui.