Booking.com gehackt: wat doe je en hoe bescherm je jezelf?

In april 2026 bevestigde Booking.com een datalek waarbij klantgegevens zoals e-mailadressen en telefoonnummers zijn ingezien door onbevoegden. Dat is niet de enige bedreiging: criminelen sturen al tijden nep-betaalverzoeken via gehackte hotelaccounts op het platform. In dit artikel lees je precies wat je doet als je slachtoffer bent, hoe je schade beperkt en hoe je voorkomt dat het jou overkomt.

Wat is er precies gebeurd bij Booking.com?

Er zijn twee aparte problemen die vaak door elkaar worden gehaald:

• Datalek april 2026: Booking.com meldde op 13 april 2026 dat klantgegevens — waaronder e-mailadressen, telefoonnummers en boekingsgegevens — zijn ingezien door onbevoegden. Betaalgegevens zoals creditcardnummers zijn volgens het bedrijf niet buitgemaakt.
• Phishing via hotelaccounts (lopend probleem): Criminelen hacken de inloggegevens van hotels op Booking.com en sturen daarna berichten naar gasten die een boeking hebben gemaakt. Ze beweren dat de betaling is mislukt en vragen je opnieuw te betalen via een link. Die link leidt naar een nep-betaalpagina, en je geld verdwijnt naar de oplichters. De eerste betaling was gewoon geslaagd.

Dit soort aanvallen wordt steeds professioneler. De berichten lijken afkomstig van het echte hotel en komen via het officiële Booking.com-berichtensysteem — waardoor ze moeilijk te onderscheiden zijn van echte communicatie.

Hoe herken je een nep-betaalverzoek van Booking.com?

Let op deze signalen dat een bericht of betaallink verdacht is:

• Je wordt gevraagd om opnieuw te betalen voor een boeking die je al hebt betaald.
• De link in het bericht begint met iets anders dan booking.com (bijv. booking-payment.com, secure-booking.nl).
• Er is tijdsdruk: "betaal binnen 24 uur anders vervalt je boeking".
• Het verzoek komt via WhatsApp, sms of e-mail — niet via het officiële berichtencentrum in de Booking.com-app.
• Je wordt gevraagd om je creditcardgegevens in te voeren op een externe website.

Gouden regel: controleer alle betalingen via je eigen account op booking.com (typ het adres zelf in je browser). Klik nooit op een link in een chatbericht.

Stap voor stap: wat doe je als je slachtoffer bent?

Heb je op een nep-link geklikt of geld overgemaakt? Handel dan zo snel mogelijk in deze volgorde:

1. Neem direct contact op met je bank of creditcardmaatschappij. Vraag om het bedrag te storneren (chargeback). Bij creditcardbetalingen lukt dit vaker dan bij iDEAL-overboekingen. Hoe sneller je belt, hoe groter de kans op terugboeking.
2. Wijzig je wachtwoord van Booking.com. Ga naar Mijn Account > Persoonlijke gegevens > Wachtwoord wijzigen. Gebruik een uniek, sterk wachtwoord dat je nergens anders gebruikt.
3. Zet twee-factor-authenticatie (2FA) aan. Ga naar Mijn Account > Beveiliging > Twee-staps verificatie. Kies voor authenticatie via sms of een authenticator-app. Zonder 2FA kan iemand met je wachtwoord direct inloggen.
4. Controleer je actieve sessies. Ga naar Mijn Account > Beveiliging > Actieve sessies. Als je onbekende sessies ziet (bijv. vanuit een ander land), log ze dan uit en wijzig direct je wachtwoord.
5. Doe aangifte bij de politie. Ga naar politie.nl/aangifte of naar een politiebureau. Aangifte helpt ook als bewijs bij verdere stappen en kan bijdragen aan opsporingsonderzoek.
6. Meld het bij de Fraudehelpdesk. Via fraudehelpdesk.nl kun je meldingen doorgeven. Dit helpt om anderen te waarschuwen en patroonherkenning door autoriteiten te verbeteren.
7. Meld het bij Booking.com zelf. Stuur een bericht via het officiële helpcenter of gebruik de chat in de app. Booking.com heeft aangegeven slachtoffers te compenseren als terugboeking via de bank niet lukt.

Wil je weten hoe je aangifte doet bij cybercrime? Bekijk dan ook ons artikel over aangifte doen bij online oplichting.

Je Booking.com-account beter beveiligen: stap voor stap

Voorkomen is beter dan genezen. Volg deze stappen om je account te beveiligen:

1. Gebruik een uniek, sterk wachtwoord. Minimaal 12 tekens, combinatie van letters, cijfers en symbolen. Gebruik een wachtwoordmanager (bijv. Bitwarden of 1Password) als je veel accounts hebt.
2. Zet 2FA aan. Ga naar Mijn Account > Beveiliging. Kies voor een authenticator-app (zoals Google Authenticator of Microsoft Authenticator) boven sms — dat is veiliger.
3. Gebruik een apart e-mailadres voor boekingsplatforms. Als je e-mailadres uitlekt bij een datalek, weet de oplichter nu minder over je andere accounts.
4. Betaal altijd via je Booking.com-accountoverzicht. Ga bij twijfel over een betaling direct naar booking.com > Mijn boekingen en controleer of er een openstaand bedrag staat.
5. Controleer je boekingsstatus via de app, niet via links in berichten. Open de officiële Booking.com-app en bekijk je boekingsdetails. Alles wat klopt, staat daar ook.
6. Wees alert op je e-mail na een boeking. Na een datalek kan je e-mailadres worden gebruikt voor phishing-mails die lijken op Booking.com-communicatie. Let op het afzenderadres (moet eindigen op @booking.com).

Wat doet Booking.com zelf om je te beschermen?

Na het datalek van april 2026 en de aanhoudende hotelaccount-hacks heeft Booking.com een aantal maatregelen genomen:

• Hotels moeten verplicht twee-factor-authenticatie gebruiken voor hun account.
• Het platform scant automatisch op afwijkend gedrag in hotelaccounts (bijv. plotseling veel berichten sturen naar gasten).
• Betaallinks in chatberichten worden automatisch gemarkeerd als verdacht.
• Slachtoffers die schade hebben geleden en dit niet kunnen terugkrijgen via hun bank, kunnen een vergoedingsverzoek indienen bij Booking.com.

Ondanks deze maatregelen blijft voorzichtigheid geboden. Criminelen passen hun methodes continu aan. Booking.com werkt samen met beveiligingsbedrijven en opsporingsdiensten om hotelaccounts beter te beschermen, maar de snelheid van aanvallen is hoog. Jij bent je eigen eerste linie van verdediging.

Veelgemaakte fouten bij Booking.com-oplichting

Dit zijn de fouten die mensen het vaakst maken:

• Klikken op links in chatberichten van "het hotel". Het bericht lijkt echt, maar de link kan naar een nepper leiden. Controleer altijd via je eigen app of account.
• Creditcardgegevens invoeren op een onbekende site. Een echte betaalpagina van Booking.com begint altijd met https://www.booking.com. Let op het slotje en het adres in de adresbalk.
• Te laat contact opnemen met de bank. Hoe langer je wacht, hoe kleiner de kans op een chargeback. Bel direct als je het vermoedt.
• Hetzelfde wachtwoord op meerdere sites gebruiken. Als je Booking.com-wachtwoord uitlekt bij een datalek, kunnen aanvallers daarmee ook bij andere accounts. Gebruik altijd unieke wachtwoorden.
• Geen aangifte doen omdat het toch niks helpt. Aangifte is juist belangrijk: het is bewijs voor je bank, voor Booking.com en het helpt politie om patronen te herkennen en daders op te sporen.

Wat als de chargeback niet lukt?

Soms weigert de bank een chargeback, bijvoorbeeld bij iDEAL-overschrijvingen waarbij je zelf hebt betaald (ook al was je misleid). Dan heb je nog deze opties:

• Vergoedingsverzoek bij Booking.com: Neem contact op via het helpcenter en vermeld dat je via een gehackt hotelaccount bent opgelicht. Booking.com heeft beloofd in dergelijke gevallen te compenseren.
• Klacht bij het Kifid (Klachteninstituut Financiële Dienstverlening): Als je bank ongegrond weigert te helpen, kun je een klacht indienen bij Kifid (kifid.nl).
• Civiele procedure: In extreme gevallen is een civiele procedure mogelijk, maar dat is tijdrovend en kostbaar. Dit is pas zinvol bij hoge bedragen.

Heb je meer vragen over je rechten als consument bij online oplichting? Lees dan ons artikel over consumentenrechten bij internetfraude.

Hoe weet je of je gegevens zijn uitgelekt?

Na het Booking.com-datalek van april 2026 werden sommige klanten per e-mail geïnformeerd. Toch is het slim om zelf te controleren:

1. Ga naar haveibeenpwned.com en voer je e-mailadres in. Deze gratis tool toont welke datalekken jouw adres bevatten.
2. Controleer of je verdachte inlogpogingen hebt ontvangen (e-mails of sms'jes van Booking.com die je zelf niet hebt aangevraagd).
3. Als je e-mail in een lek voorkomt: wijzig direct je wachtwoord bij alle platforms waar je datzelfde e-mailadres gebruikt.

Wat als je boekingsgegevens zijn misbruikt voor identiteitsfraude?

Een datalek waarbij je naam, telefoonnummer en e-mailadres zijn gestolen, kan leiden tot meer dan alleen phishing. In sommige gevallen proberen criminelen deze gegevens te gebruiken voor identiteitsfraude: het aanvragen van leningen, abonnementen of andere diensten op jouw naam. Dit zijn de stappen als je dit vermoedt:

1. Controleer je BKR-registratie: Ga naar mijnkredietoverzicht.nl om gratis een overzicht op te vragen van alle kredieten die op jouw naam staan. Zijn er onbekende inschrijvingen? Meld dit direct bij het BKR.
2. Vraag je creditrapport op: Via inforegister.nl of mijnoverheid.nl kun je controleren of er gegevensverzoeken zijn gedaan over jou.
3. Meld identiteitsfraude bij de politie: Aangifte is noodzakelijk om de fraude juridisch te bewijzen. Bewaar alle communicatie, screenshots en bankafschriften als bewijs.
4. Neem contact op met het Centraal Meldpunt Identiteitsfraude: Het CMI (via autoriteitpersoonsgegevens.nl) helpt je bij de vervolgstappen en kan bemiddelen met bedrijven die op jouw naam zijn opgelicht.

Identiteitsfraude is zeldzaam maar serieus. Meeste slachtoffers van het Booking.com-datalek lopen eerder tegen extra phishing-mails en -sms'jes aan dan tegen identiteitsfraude — maar alertheid blijft geboden.

Vergelijkbare platforms: gelden deze risico's ook voor Airbnb en Hotels.com?

Het probleem van gehackte leveranciersaccounts speelt niet alleen bij Booking.com. Ook bij Airbnb zijn er meldingen van verhuurders wiens account werd overgenomen, waarna gasten werden opgelicht. Dit zijn de overeenkomsten en verschillen:

• Airbnb: Heeft een vergelijkbaar chatplatform dat door criminelen wordt misbruikt. Airbnb vergoedt slachtoffers via het AirCover-programma als fraude via het eigen berichtenplatform plaatsvond.
• Hotels.com en Expedia: Minder meldingen van chatmisbruik, maar vergelijkbare datalek-risico's. Gebruik ook hier 2FA en controleer betalingen via je eigen accountpagina.
• Algemene regel voor alle boekingsplatforms: Betaal nooit via een link in een chatbericht. Gebruik altijd het officiële betalingssysteem van het platform zelf, bereikbaar via de officiële app of website.

Wil je meer weten over veilig online boeken? Lees ook ons artikel over veilig betalen op vakantieboekingssites voor meer concrete tips.

Veelgestelde vragen

Wat is er precies gehackt bij Booking.com in 2026?

In april 2026 bevestigde Booking.com een datalek waarbij klantgegevens zoals e-mailadressen, telefoonnummers en boekingsinformatie zijn ingezien. Betaalgegevens zoals creditcardnummers zijn volgens het bedrijf niet buitgemaakt.

Ik heb geld overgemaakt via een link in een Booking.com-bericht. Wat doe ik?

Neem direct contact op met je bank en vraag om een chargeback. Hoe sneller je dat doet, hoe groter de kans dat het lukt. Doe daarna aangifte bij de politie via politie.nl/aangifte en meld het bij de Fraudehelpdesk (fraudehelpdesk.nl).

Hoe herken ik een nep-betaalverzoek van Booking.com?

Verdachte signalen zijn: verzoek om opnieuw te betalen voor een al betaalde boeking, tijdsdruk (‘betaal binnen 24 uur’), een link die niet naar booking.com wijst, of een verzoek via WhatsApp of sms. Controleer altijd via je eigen account op booking.com.

Hoe zet ik twee-factor-authenticatie aan op Booking.com?

Log in op booking.com, ga naar Mijn Account > Beveiliging > Twee-staps verificatie en volg de instructies. Kies bij voorkeur een authenticator-app boven sms, want dat is veiliger.

Vergoedt Booking.com de schade als ik ben opgelicht?

Booking.com heeft aangegeven slachtoffers te compenseren als ze geen geld terug kunnen krijgen via de bank of creditcardmaatschappij. Neem contact op via het officiële helpcenter en documenteer alles goed.

Hoe weet ik of mijn Booking.com-account is gehackt?

Controleer via Mijn Account > Beveiliging > Actieve sessies of er onbekende sessies zijn. Ontvang je e-mails over inlogpogingen die je zelf niet hebt gedaan? Wijzig dan direct je wachtwoord en schakel 2FA in.

Kan ik controleren of mijn e-mailadres is uitgelekt?

Ja, via haveibeenpwned.com kun je gratis controleren of jouw e-mailadres voorkomt in bekende datalekken, waaronder het Booking.com-lek van april 2026. Als dat zo is, wijzig dan direct je wachtwoord overal waar je dat adres gebruikt.