Groot datalek bij Bastion Hotels: phishingaanval laat zien hoe kwetsbaar onze gegevens zijn in het digitale tijdperk

donderdag, 12 maart 2026 (07:13) - XGN.nl

In dit artikel:

Bastion Hotels werd recent het slachtoffer van een phishingaanval waarbij de gegevens van ongeveer 6.000 gasten uit zeven vestigingen zijn buitgemaakt. De aanval ontstond toen een medewerker op een valse link klikte die zich voordeed als onderdeel van het reserveringssysteem; door die klik kregen de aanvallers toegang tot boekingsdata.

Getroffen locaties: Almere, Amsterdam Airport, Amsterdam Amstel, Amsterdam Noord, Amsterdam Zuidwest, Amersfoort en Apeldoorn. Gestolen gegevens omvatten namen, telefoonnummers, adressen, nationaliteiten, boekingsdata en – in beperkte mate – betaalinformatie (laatste vier cijfers van creditcards en vervaldatum).

Direct na het lek startten criminelen een tweede fase: gasten ontvingen WhatsApp- en sms-berichten met het verzoek hun reservering binnen 12 uur te verifiëren via een link. Die berichten kwamen van een nummer met een Indonesische landcode en gebruikten het Bastion-logo als profielfoto om vertrouwen te wekken. Bastion benadrukt dat het nooit betaalverzoeken via sms of WhatsApp verstuurt en heeft de getroffen klanten per e-mail en sms gewaarschuwd.

Het incident illustreert de groeiende rol van smishing (phishing via sms/WhatsApp) en de kwetsbaarheid van telecomkanalen: aanvallers werken met buitenlandse nummers en prepaidverbindingen, wat detectie en blokkering bemoeilijkt. Telecomproviders proberen verdachte campagnes tegen te gaan, maar cybercriminelen passen voortdurend nieuwe nummers en technieken toe. Vergelijkbare hotelincidenten kwamen dit jaar al voor, onder andere bij Van der Valk.

Tips voor reizigers: wees kritisch bij onverwachte berichten met links, controleer afzendergegevens en reageer niet op dringende verzoeken om persoonlijke of betaalgegevens. Voor bedrijven: voorkom dit soort datalekken met gerichte medewerkersopleidingen, phishing-simulaties, strikte toegangscontrole (zoals multi-factor authenticatie), goede e-mailfiltratie en monitoring van verdachte uitgaande berichten.

In een tijd van meer digitale dienstverlening en snel ontwikkelende AI-technieken neemt het risico op gerichte, overtuigende fraude toe; extra waakzaamheid en technische tegenmaatregelen blijven essentieel.