Hackers Van der Valk Amsterdam gebruikten veelvoorkomende truc: 'Ze zeiden dat het m'n eigen schuld was'

donderdag, 4 september 2025 (21:15) - De Telegraaf

In dit artikel:

Hotel Van der Valk Amsterdam Zuidas is begin augustus getroffen door een hack op het reserveringssysteem, waardoor persoonsgegevens van 302 gasten zijn buitgemaakt. Het gaat om boekingsinformatie, telefoonnummers en adressen; volgens het hotel zijn er geen creditcardgegevens uit het systeem gestolen. Een gespecialiseerd bedrijf concludeerde recentelijk dat onbevoegden toegang hadden gekregen tot de dataset.

Tot nu toe heeft zich één direct gedupeerde gemeld. Zij had in augustus een kamer geboekt voor een verblijf later deze maand en ontving vorige week een bericht dat de reservering was geannuleerd. Na het volgen van een link voerde ze opnieuw haar creditcardgegevens in; haar kaart werd daarna met 200 euro belast. De vrouw zegt dat het personeel aanvankelijk haar de schuld gaf, en pas na aandringen toegaf dat het hotel was gehackt. Directeur Mark van der Valk zegt in reactie dat hij met alle getroffenen in gesprek wil, maar erkent (vooralsnog) geen aansprakelijkheid omdat de creditcardgegevens niet uit het gehackte systeem zouden komen.

Ethisch hacker Sijmen Ruwhof benadrukt dat de gelekte adres- en boekingsgegevens phishingberichten zeer geloofwaardig maken. Hij analyseerde de nepsite en noemt die professioneel ogend; aanwijzingen wijzen volgens hem naar betrokkenheid van Russische cybercriminelen, terwijl de misleidende WhatsApp-berichten vanaf een Indiaas nummer zijn verstuurd. Dit type oplichting — hotelsystemen kraken en klanten naar nepsites lokken om betalingsgegevens af te troggelen — komt vaker voor, ook bij reserveringen via platforms als Booking.

Het hotel stuurde klanten donderdag een mail over de datadiefstal, nadat De Telegraaf vragen stelde; volgens Van der Valk was die vertraging bedoeld om zorgvuldig te handelen en klanten niet onnodig te verontrusten. Beveiligingsexperts vinden een melding na zes dagen te laat: volgens de Autoriteit Persoonsgegevens moet een datalek binnen 72 uur gemeld worden, en slachtoffers beter geïnformeerd worden over de risico’s. Getroffenen wordt geadviseerd aangifte te doen, hun bank te waarschuwen en rekeningafschriften en accounts te monitoren.