Kriminelle har frit spil på booking.com

Kunder risikerer at få misbrugt betalingsoplysninger på hjemmeside, hvor man booker hoteller og lejligheder

Foto: Colourbox
Foto: Colourbox

Hvis man bestiller et værelse eller en lejlighed på hjemmesiden booking.com, kan man ikke være sikker på, at ens kreditkort-oplysninger er i sikre hænder.

Det fortæller Ole Tange, it-politisk rådgiver i fagforbundet Prosa og tidligere it-sikkerhedskonsulent.

Tusindvis af danskere oplever, at kreditkortet bliver misbrugt af svindlere, der i år stjal over 200 millioner kroner. Foto: Colourbox Vagthund Digitale tyve stjæler 200 mio. kroner: Dankort-svindel eksploderer

Når man som forbruger bestiller et ophold på booking.com, bliver kreditkort-informationerne nemlig videregivet til udlejeren. Det gælder kortnummer, udløbsdato, navn på kortholderen og det såkaldte kontrolnummer – også kaldet CVC-nummer – som står på bagsiden af kortet.

Det viser et screendump, som EKSTRA Lørdag har set. Her har en privatperson lejet et værelse ud og har efterfølgende modtaget sin gæsts kortoplysninger.

Og det giver altså udlejeren mulighed for at misbruge oplysningerne, forklarer Ole Tange.

- Enhver, som privat lejer et værelse ud, kommer til at stå med oplysninger, som kan sælges videre til kriminelle. Det er noget bøvl. Som forbruger er man stadig beskyttet, men man skal selv tjekke, at der ikke er blevet sket misbrug. Det er ikke rimeligt, bare fordi man har brugt kreditkortet hos booking.com.

Ole Tange fortæller videre, at hvis man afgiver informationer på internettet, kan man ikke være sikker på, hvem de bliver givet videre til.

- Det gælder for kreditkortet på booking.com, billedet på Snapchat, og hvad du deler i en lukket gruppe på Facebook. Og man kan desværre ikke stole på virksomhedernes privatlivspolitik. For det første kan den blive ændret, og for det andet kan en utilfreds eller sjusket medarbejder omgå den. Derfor er det vigtigt, at man kontrollerer sit bankudtog og lærer digitalt selvforsvar.

Tusindvis af danskere oplever, at kreditkortet bliver misbrugt af svindlere, der i år stjal over 200 millioner kroner. Foto: Colourbox Vagthund Digitale tyve stjæler 200 mio. kroner: Dankort-svindel eksploderer

Fordi firmaet booking.com har hovedkontor i Holland og er amerikansk-ejet, er det ikke myndighederne i Danmark, der skal tage sig af sagen. Det fortæller Cecilie Kjeldsen, som er fuldmægtig i Forbrugerombudsmandens sekretariat. Men hjemmesiden ville umiddelbart være i strid med Forbrugerombudsmandens vejledning.

- Man skal oplyse alle relevante oplysninger til forbrugeren. Det kan være, hvis man videregiver kreditkort-oplysninger. I øvrigt skal oplysningerne gemmes på en sådan måde, at kun særligt betroede har adgang. Oplysningerne skal slettes, så snart transaktionen er gennemført. Et krav om, at man skal videregive sine kreditkort-oplysninger, hvis man f.eks er privat lejer, er et urimeligt aftalevilkår. Det er i strid med god markedsføringspolitik, siger Cecilie Kjeldsen.

Hos Forbrugerrådet stiller man sig også undrende over for metoderne på booking.com.

- Det lyder mærkeligt, for det er oplysninger, som sætter kunden i en misbrugs-risiko. Det er tilmed problematisk, at oplysningerne bliver opbevaret og ikke bliver slettet automatisk, siger seniorjurist med speciale i databeskyttelse hos Forbrugerrådet Anette Høyrup.

- Man forstår selvfølgelig godt, at udlejeren vil have en sikkerhed for den aftale, han indgår. Men lige præcis de her oplysninger er særligt følsomme i forhold til misbrug. Den her praksis er set før, så det burde kunne lade sig gøre at skabe sikkerhed for udlejeren på en anden måde.

* * *

Booking.com: - Vi går ud fra, at vores udlejere ikke misbruger oplysninger

En privat, der lejer et værelse ud, kommer til at stå med oplysninger, som kan sælges videre til kriminelle. Foto: Privat screendump
En privat, der lejer et værelse ud, kommer til at stå med oplysninger, som kan sælges videre til kriminelle. Foto: Privat screendump
 

EKSTRA Lørdag har forholdt kritikken for booking.com. Her afviser firmaets talsperson, at systemet skulle være mere usikkert end andre systemer. Tals-personen ønsker ikke at få sit navn frem, men taler på vegne af firmaet:

- Vi er nødt til at afvise kritikken fra Forbrugerombudsmanden og Forbrugerrådet. Vores betalingssystem er fuldstændig sikkert og lever op til international PCI DSS-standard. Alle kortoplysninger er kun tilgængelige for betroede medarbejdere hos udlejeren, de er kun tilgængelige i en begrænset periode, og de slettes automatisk, når transaktionen er gennemført.

- Udlejeren har via booking.com modtaget alle kreditkort-informationerne på denne gæst. Det sætter gæsten i en situation, hvor misbrug er muligt.

- Generelt kan vi sige, at det er en tryg og sikker fremgangsmåde, der anvendes hos rigtigt mange netbutikker og bookingportaler. Det, at de modtager kreditkort-oplysningerne, er ene og alene udlejerens mulighed for at kunne opkræve pengene.

- Ved de fleste bestillinger sker der ikke nogen betaling via booking.com. Det er oftest en reservation, som folk kan annullere indtil dagen før, de kommer. Så betaler man først, når man er der. Kreditkort-oplysningerne er udlejers sikkerhed, hvis folk bliver væk uden at afbestille. Vi tager datasikkerhed meget alvorligt, og vi går ud fra, at vores udlejere ikke misbruger oplysninger.

- Er du enig i, at det sætter lejere i en situation, hvor udlejer enten selv kan misbruge oplysningerne eller videregive dem til kriminelle?

- Nej. Vi går ud fra, at vores udlejere er seriøse virksomheder. Når der bliver indgået aftaler, vurderer vi dem grundigt for at få en sikkerhed for, at det er seriøst. Der er altid risiko for misbrug i et ethvert system, men vi har meget stramme, interne kontrolprocedurer for at beskytte både udlejeres og gæsters data. Når medarbejdere – selv betroede medarbejdere  – får adgang til denne type oplysninger, er der altid risiko for misbrug. Hvis der alligevel sker misbrug, slår vi ned på det.

- Kan man ikke give en garanti til udlejeren på en anden måde?

- Det kan man sikkert godt, men det er et system, der er testet, og som lever op til de standarder, der gælder for betalingssystemer på nettet. Vi oplever sjældent misbrug, så det er svært at forholde sig hypotetisk til.

På hjemmesiden booking.com står der dog, at hvis man er udsat for misbrug af oplysninger, betaler firmaet den selvrisiko, der eventuelt kunne være hos ens bank. Det er dog kun, hvis fejlen ligger hos booking.com og ikke hos forbrugeren. Der bookes ca. 6,3 millioner overnatninger om ugen hos booking.com.

Tusindvis af danskere oplever, at kreditkortet bliver misbrugt af svindlere, der i år stjal over 200 millioner kroner. Foto: Colourbox Vagthund Digitale tyve stjæler 200 mio. kroner: Dankort-svindel eksploderer

44 kommentarer
Vis kommentarer

Skærm

Hent flere
Hent flere