BOOKING.COM LAAT JE STIKKEN: Honderden Nederlanders opgelicht in eigen app, bedrijf wast handen in onschuld

donderdag, 15 januari 2026 (08:06) - Dagelijkse Standaard

In dit artikel:

In januari 2026 blijkt uit een Telegraaf-reportage dat Booking.com kampt met een groot beveiligingsprobleem waardoor honderden Nederlandse reizigers geld zijn kwijtgeraakt. Cybercriminelen benutten gestolen inloggegevens van hotels om vanuit de ‘vertrouwde’ omgeving van de officiële app valse berichten te sturen. Gasten krijgen meldingen dat een aanbetaling niet is doorgekomen en worden via een link naar nep-betaalpagina’s geleid; wie betaalt, ziet zijn geld verdwijnen en vaak ook de vakantie in gevaar komen.

De opschaling van de fraude is duidelijk in de cijfers: de schade waarvoor meldingen binnenkwamen steeg van bijna €25.000 in 2024 naar €65.400 in 2025, en ook de eerste weken van 2026 laten een sterke toename zien volgens de Fraudehelpdesk. Ethisch hacker Sijmen Ruwhof wijst op de onderliggende oorzaak: miljarden wachtwoorden circuleren op het dark web, veel (kleine) hotels gebruiken zwakke wachtwoorden en hebben geen tweestapsverificatie ingesteld. Daardoor krijgen aanvallers toegang tot telefoon- en e-mailgegevens en kunnen ze slachtoffers ook via WhatsApp benaderen namens het hotel.

De kritiek richt zich deels op Booking.com zelf. Beveiligingsmaatregelen zoals verplichte tweestapsverificatie voor partneraccounts zijn niet streng afgedwongen, mogelijk omdat extra obstakels de boekingsstroom en daarmee de commissies zouden kunnen vertragen. In plaats van deze systeemfouten volledig te erkennen, reageert het platform volgens de reportage defensief: het zegt dat de beveiliging “beter is geworden” en suggereert dat stijgende meldingen deels komen doordat mensen tegenwoordig sneller durven toegeven dat ze zijn opgelicht. Die benadering wordt door de reportage en beveiligingsexperts als ontoereikend en als verschuiven van verantwoordelijkheid gezien.

Booking.com biedt in sommige gevallen hulp of terugbetaling “als blijk van goede wil”, maar dat wordt in de krant bekritiseerd als onvoldoende: als het platform de infrastructuur levert waarin de diefstal plaatsvindt en aan commissies verdient, zo luidt de redenering, is compenseren eerder een plicht dan een gunst.

Praktisch advies voor reizigers: wees terughoudend met betaalverzoeken in de app, klik niet op links zonder verificatie en bel bij twijfel direct het hotel. De zaak illustreert breder hoe credential-lekken en ontoereikende partnerbeveiliging consumenten kwetsbaar maken en roept op tot striktere maatregelen van platforms die massaal persoonsgegevens en betalingen faciliteren.