Din medarbejder booker et hotel til en forretningsrejse. Alt fra navn til rejsedatoer ligger i én platform. Den er lige blevet hacket. For fjerde gang på ti år.
I april 2026 bekræftede en af verdens største rejsebookingplatforme endnu et databrud. Uautoriserede tredjeparter har fået adgang til kunders bookingdata. Navne, e-mailadresser, fysiske adresser, telefonnumre, rejsedatoer og information delt med overnatningsstedet.
Hvor mange der er ramt? Det vil virksomheden ikke oplyse.
Et mønster der gentager sig
Det er ikke første gang. Det er et mønster.
I 2016 brød en person med tilknytning til en efterretningstjeneste ind via en dårligt sikret server og stjal tusindvis af reservationer. Platformen bad den hollandske efterretningstjeneste om hjælp, men hverken kunder eller datatilsynet blev informeret.
I 2018 ringede svindlere til hotelpersonale og fik dem til at udlevere loginoplysninger. Over 4.000 kunders data og næsten 300 betalingskort blev kompromitteret. Bruddet blev anmeldt 22 dage for sent. Det hollandske datatilsyn udstedte en bøde på 475.000 euro.
I 2024 rapporterede platformen selv, at phishing mod rejsende var steget op til 900 procent, primært drevet af AI. Sikkerhedsforskere dokumenterede en organiseret kampagne, hvor hackere overtog hotelkonti og sendte falske betalingsanmodninger via platformens eget beskedsystem til gæster med ægte bookingdata.
Og nu i april 2026. Igen et brud. Igen ingen oplysninger om omfang. Igen vage e-mails til berørte kunder.
Risikoen er det, der kommer bagefter
For din virksomhed er risikoen ikke selve bruddet. Risikoen er det, der kommer bagefter. Bookingdata fortæller en angriber præcis, hvor din medarbejder rejser hen, hvornår, under hvilket navn og med hvilket telefonnummer.
Det er social engineering af højeste kvalitet. Et opkald fra hotellets reception med korrekt navn, værelsenummer og rejsedatoer. Og platformen er bare ét eksempel. Tænk på alle de tjenester, dine medarbejdere bruger med firmamails og firmakort, som IT-afdelingen ikke har overblik over.
Tre ting I kan gøre nu
Kortlæg hvilke rejse- og bookingplatforme jeres medarbejdere bruger. Firmamails og betalingskort efterlader spor. Det I ikke kender, kan I ikke beskytte.
Indfør en politik for forretningsrejsedata. Brug firmamails, ikke private. Undgå at dele unødvendige oplysninger i beskedfelter til hoteller.
Forbered jeres medarbejdere på, at ægte bookingdata kan bruges til phishing. Et opkald eller en besked med korrekte rejseoplysninger er ikke automatisk legitim.
Har I overblik over, hvilke platforme jeres medarbejdere deler forretningsdata med?
En uafhængig cybersikkerhedsaudit kortlægger jeres eksponering via tredjepartsplatforme, og awareness-træning forbereder medarbejderne på social engineering baseret på ægte data.
Har du brug for en vurdering af jeres sikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
