Morten Lyhne Petersen
En anonym sælger udbyder data fra 82 millioner Agoda-kunder, men rejseplatformen kalder oplysningerne falske.
Opslaget dukkede op den 22. april på et kendt hackerforum, hvor en bruger med aliasset “hackboy” tilbød en database med navne, e-mailadresser, telefonnumre og malaysiske id-kortnumre fra rejseplatformens brugere. Sælgeren hævdede, at oplysningerne primært stammede fra malaysiske og asiatiske konti.
Agoda afviser blankt, at virksomheden er kilden. En talsmand siger til Cybernews, at “der er intet sandt i det her. Vi har gennemgået oplysningerne, og ingen af dem er Agoda-data”. Selskabet oplyser også, at interne undersøgelser ikke har fundet tegn på, at systemer er kompromitteret.
Stikprøven holder ikke vand
Sikkerhedsforskere hos Cybernews fik adgang til en mindre stikprøve på 23 poster og fandt detaljer som fulde navne, id-numre, telefonnumre, e-mailadresser og hoteladresser knyttet til malaysiske brugere. Tallet på 82 millioner kunne forskerne ikke verificere.
Et særligt forhold vakte mistanke: stikprøven indeholdt ingen reservationsdatoer. Det er et standardfelt i alle hotelbookinger, og fraværet får analytikere til at tvivle på, om data overhovedet stammer fra Agodas reservationssystem. Flere vurderinger peger på, at der kan være tale om genbrug af ældre stjålne data, ompakket for at virke nyt.
Reelt brud hos søsterselskabet
Mens Agoda-sagen er omstridt, bekræftede koncernsøsteren Booking.com et reelt brud kort forinden. Begge selskaber ejes af Booking Holdings.
Booking.com begyndte at informere kunder den 13. april om, at uautoriserede tredjeparter havde haft adgang til reservationsdata. “Vi konstaterede mistænkelig aktivitet, hvor uautoriserede tredjeparter kunne tilgå nogle af vores gæsters bookingoplysninger”, oplyste talsmand Courtney Camp.
De berørte oplysninger omfatter navne, e-mailadresser, telefonnumre og bookingdetaljer. Finansielle data blev ifølge selskabet ikke tilgået. Booking.com har ikke offentliggjort, hvor mange kunder der er ramt.
Microsoft har tilskrevet angrebet den kriminelle gruppe Storm-1865, som ifølge analytikere kompromitterede hotelpartnere via en phishing-teknik kaldet ClickFix. Hotelmedarbejdere blev lokket gennem falske CAPTCHA-sider, der installerede skadelig software som XWorm og VenomRAT.
Phishing-risikoen rammer også Danmark
For danske rejsende, der booker hotelophold i Asien via Agoda eller bruger Booking.com til europæiske ferier, er den primære fare ikke nødvendigvis selve datalækken, men det der følger efter. Med navne, e-mails og bookingdetaljer i hænderne kan svindlere overbevisende udgive sig for at være enten et hotel eller selve platformen.
Typiske svindelnumre omfatter falske beskeder om betalingsbekræftelse, krav om ekstra gebyrer via direkte beskeder, eller links til at indtaste kortoplysninger på falske betalingssider. Britiske myndigheder modtog 532 anmeldelser om netop den type svindel mellem juni 2023 og september 2024 med et samlet tab på omkring 470.000 dollars.
Det praktiske råd er enkelt: tjek altid betalingskrav i den oprindelige bookingbekræftelse, kontakt hotellet direkte via verificerede kanaler i stedet for via links i e-mails eller beskeder, og afvis uopfordrede betalingsanmodninger, selv hvis de fremstår som om de kommer fra platformen.
