Groot datalek bij Bastion Hotels: opnieuw een phishingaanval die 6000 mensen treft

In dit artikel:

Bastion Hotels is recent slachtoffer geworden van een gerichte phishingaanval waarmee gegevens van ongeveer 6.000 gasten uit zeven vestigingen zijn buitgemaakt. De fraudeurs kregen toegang nadat een medewerker op een valse link klikte die leek te komen van het reserveringssysteem; de link verwees in werkelijkheid naar een nagemaakte website. Getroffen vestigingen zijn Almere, Amsterdam Airport, Amsterdam Amstel, Amsterdam Noord, Amsterdam Zuidwest, Amersfoort en Apeldoorn.

Wat er is gestolen: namen, telefoonnummers, adressen, nationaliteiten en boekingsdata. Ook is een klein deel van betaalgegevens gelekt — voornamelijk de laatste vier cijfers van creditcards en vervaldatums. Direct daarna benaderden de criminelen gasten met sms- en WhatsApp-berichten waarin werd gevraagd de reservering binnen 12 uur te verifiëren via een link. De berichten kwamen van een nummer met een Indonesische landcode en gebruikten het Bastion-logo om betrouwbaarheid te suggereren. Bastion benadrukt dat het nooit via sms of WhatsApp om betalingen vraagt en heeft betrokken gasten gewaarschuwd.

Dit incident valt in een bredere trend: smishing (phishing via sms/WhatsApp) groeit en cybercriminelen benutten telecomnetwerken en buitenlandse of anonieme nummers om massaal contact te leggen. Telecomproviders proberen verdachte campagnes te blokkeren — voorbeelden zoals Odido en eerdere aanvallen op hotelketens als Van der Valk laten zien dat het moeilijk is alle varianten te stoppen omdat aanvallers snel van nummers en technieken wisselen.

Praktische tips: wees kritisch bij ongevraagde berichten met links, controleer het afzendadres en neem bij twijfel rechtstreeks contact op met het hotel via de officiële contactgegevens; klik niet zomaar op links die om persoonlijke of betaalgegevens vragen. In een tijd van toenemende digitalisering en geavanceerde hulpmiddelen zoals AI is extra waakzaamheid cruciaal om soortgelijke schade te voorkomen.