Campingorganisaties Roan en Eurocamp hebben te maken gehad met een beveiligingsincident waarbij persoonsgegevens van klanten zijn buitgemaakt. Het gaat om gegevens van een nog onbekend aantal mensen die bij deze aanbieders een vakantie hebben geboekt. Onder de gestolen informatie bevinden zich onder meer reserveringsgegevens. Of ook andere labels binnen hetzelfde moederbedrijf, zoals VacanceSelect, door het lek zijn geraakt, is op dit moment niet bevestigd.

De betrokken organisaties hebben hun klanten per e-mail op de hoogte gesteld van het voorval. Daarnaast heeft Roan op de eigen website extra uitleg gegeven in de vorm van een veelgestelde vragen-pagina. Hierin wordt aangegeven dat onbevoegden op 16 maart toegang hebben gekregen tot systemen via een kwetsbaarheid bij een externe IT-leverancier. Dit betekent dat het lek niet direct in de eigen systemen van de campingaanbieders zat, maar bij een partij waarmee zij samenwerken.

De gegevens die mogelijk zijn ingezien of gekopieerd bestaan uit persoonlijke contactinformatie en boekingsdetails. Denk hierbij aan namen, e-mailadressen en telefoonnummers, maar ook aan informatie over geboekte vakanties zoals reisdata, bestemmingen en de kosten van de reis. Volgens de aanbieders zijn er geen financiële gegevens, zoals bankrekeningnummers of creditcardinformatie, buitgemaakt. Ook zouden er geen andere gevoelige persoonsgegevens zijn gelekt.

Na ontdekking van het incident zijn direct maatregelen genomen om het probleem te verhelpen. De kwetsbaarheid die door de aanvallers is misbruikt, zou inmiddels zijn opgelost. Daarnaast zijn de relevante toezichthouders op het gebied van gegevensbescherming geïnformeerd over het datalek, zoals wettelijk verplicht is. De bedrijven geven aan dat zij de situatie nauwlettend blijven volgen en waar nodig aanvullende stappen ondernemen om de veiligheid van klantgegevens te waarborgen.

Tegelijkertijd waarschuwen Roan en Eurocamp hun klanten voor mogelijke misbruik van de buitgemaakte informatie. Er zijn signalen dat criminelen de gestolen gegevens gebruiken om zich voor te doen als medewerkers van de organisaties. Zo worden klanten bijvoorbeeld via WhatsApp benaderd met het verzoek om een betaling te doen via een meegestuurde betaallink. Dit soort berichten kan geloofwaardig overkomen, omdat de afzenders beschikken over specifieke informatie over de geboekte reis.

De campingaanbieders benadrukken daarom dat zij nooit via WhatsApp of sms betaalverzoeken versturen. Klanten wordt geadviseerd om extra alert te zijn op verdachte berichten en om geen betalingen te doen via links die zij op deze manier ontvangen. Bij twijfel is het verstandig om rechtstreeks contact op te nemen met de organisatie via de officiële kanalen.

In de communicatie richting klanten geven Roan en Eurocamp bovendien aan dat het incident mogelijk breder speelt binnen de reisbranche. Volgens hen zijn ook andere bedrijven in de vakantiesector getroffen door hetzelfde datalek. Het is echter nog niet duidelijk om welke organisaties het precies gaat en in hoeverre deze verbonden zijn aan dezelfde moedermaatschappij.

Roan en Eurocamp maken deel uit van de European Camping Group, een groter geheel waarin meerdere merken actief zijn. Naast deze twee aanbieders vallen ook namen als VacanceSelect, Romair en Alannia onder deze organisatie. Of al deze labels daadwerkelijk met hetzelfde beveiligingsincident te maken hebben, is nog onderwerp van onderzoek.

Het datalek onderstreept opnieuw hoe belangrijk het is voor bedrijven om hun digitale beveiliging op orde te hebben, zeker wanneer zij samenwerken met externe partijen. Tegelijkertijd laat het zien dat ook consumenten alert moeten blijven op mogelijke vormen van fraude, vooral wanneer hun gegevens in verkeerde handen terechtkomen.

Bron