Potrivit unei cărți publicate la începutul lunii noiembrie 2021, în anul 2016, un hacker care lucra pentru o agenție de informații din SUA a spart serverele platformei Booking.com și a furat datele utilizatorilor din Orientul Mijlociu. În carte se mai menționează faptul că agenția de turism online a optat pentru a păstra incidentul secret.
Reprezentanții companiei Booking.com, care are sediul în Amsterdam, au luat această decizie după ce aceștia au sunat la serviciul de informații olandez, cunoscut sub numele de AIVD, pentru a investiga încălcarea datelor. La sfatul consilierului juridic, compania nu a notificat clienții afectați sau Autoritatea Olandeză pentru Protecția Datelor. Motivul a fost acela că, din punct de vedere legal, firma Booking.com nu a fost obligată să facă acest lucru, deoarece nu au fost accesate informații sensibile sau financiare.
Conform cărții De Machine: In de ban van Booking.com (traducere în engleză: The Machine: Under the Spell of Booking.com), specialiștii IT, care lucrează pentru platforma Booking.com, au relatat o poveste diferită. Autorii cărții, mai exact trei jurnaliști din cadrul ziarului național olandez NRC, raportează că numele intern al incidentului a fost „scurgerea PIN”, deoarece spargerea a implicat furtul de coduri PIN din cadrul rezervărilor.
În carte mai este menționat faptul că persoana din spatele hack-ului a accesat mii de rezervări la hoteluri din Orientul Mijlociu, inclusiv Arabia Saudită, Qatar și Emiratele Arabe Unite. Datele dezvăluite au implicat numele clienților Booking.com și planurile lor de călătorie.
La două luni după încălcare, anchetatorii privați americani au ajutat departamentul de securitate al platformei Booking.com să stabilească faptul că hackerul era un american care lucra pentru o companie ce executa misiuni pentru serviciile de informații din SUA. Autorii nu au reușit să determine agenția care s-a aflat în spatele intruziunii.
Datele legate de hoteluri și călătorii sunt foarte importante pentru hackerii care lucrează pentru statele naționale. În anul 2013, un informator al NSA a dezvăluit o serie de informații legate de „Royal Concierge”, un program realizat de o echipă de spioni din cadrul GCHQ din Marea Britanie, care urmăreau rezervările la 350 de hoteluri de lux din întreaga lume. Spionii au folosit datele pentru a identifica hotelul în care s-au cazat țintele de interes, astfel încât agenții de teren să poată planta apoi dispozitive în camerele lor.
În anul 2014, Kaspersky Labs a dezvăluit o serie de informații legate de Dark Hotel, o campanie folosită timp de ani de zile, care a folosit rețelele Wi-Fi ale hotelurilor pentru a virusa dispozitivele oaspeților vizați, cu scopul de a obține acces la informațiile sensibile ale unei companii. Oamenii din spatele Dark Hotel, care lucrează probabil în numele unui stat-națiune, au arătat un interes deosebit față de oficialii politici și directorii globali de nivel C.