BWH Hotels, het moederbedrijf achter Best Western Hotels & Resorts, WorldHotels en SureStay Hotels, heeft een datalek bekendgemaakt nadat hackers meer dan zes maanden toegang kregen tot gastenreserveringssystemen.
Volgens meldingen aan getroffen klanten ontdekte het bedrijf op 22 april 2026 ongeautoriseerde activiteiten waarbij een webapplicatie werd gebruikt om hotelreserveringsinformatie op te slaan. Onderzoekers stelden later vast dat aanvallers tussen 14 oktober 2025 en 22 april 2026 toegang hadden tot het systeem.
De gecompromitteerde informatie omvat gastennamen, e-mailadressen, telefoonnummers, huisadressen, reserveringsnummers, verblijfsdata en speciale verzoeken die verband houden met hotelreserveringen. BWH Hotels zei dat betaalkaart- en bankgegevens niet werden beïnvloed omdat financiële gegevens niet werden opgeslagen in de getroffen applicatie.
Het bedrijf heeft niet bekendgemaakt hoeveel gasten door de datalek zijn getroffen. BWH Hotels exploiteert echter wereldwijd meer dan 4.000 hotels onder meerdere merken, waaronder Best Western, WorldHotels en Sure Hotels.
BWH Hotels zei dat aanvallers een kwetsbaarheid in een van hun webapplicaties hebben misbruikt om ongeautoriseerde toegang tot reserveringsgegevens te krijgen. Na het ontdekken van de inbraak haalde het bedrijf de getroffen applicatie offline, trok ongeautoriseerde toegang in en startte een onderzoek met hulp van externe cybersecurity-experts.
In klantmeldingen waarschuwde het bedrijf gasten om voorzichtig te zijn met phishing-e-mails, verdachte sms-berichten, valse boekingspagina’s en frauduleuze telefoontjes over hotelreserveringen. BWH adviseerde klanten specifiek om niet te reageren op onverwachte verzoeken voor betalingen, inloggegevens, verificatiecodes of persoonlijke informatie.
De inbreuk roept zorgen op omdat blootgestelde reserveringsinformatie zeer waardevol kan zijn voor oplichters. Cybercriminelen kunnen legitieme boekingsgegevens, hotelnamen, reisdata en contactgegevens gebruiken om overtuigende phishingcampagnes te creëren die reizigers targeten met valse betalingsverzoeken of frauduleuze reserveringsupdates.
BWH Hotels waarschuwde ook dat aanvallers mogelijk kunnen proberen hotelpersoneel of klantenservicemedewerkers te imiteren met gestolen reserveringsgegevens om oplichting legitiem te laten lijken. Het bedrijf raadde klanten aan om direct naar officiële hotelwebsites te gaan in plaats van op links te klikken in e-mails of berichten.
De horecasector is een veelvoorkomend doelwit geworden van cyberaanvallen omdat hotelsystemen grote hoeveelheden persoonlijke informatie opslaan die gekoppeld zijn aan reserveringen, reisplannen, loyaliteitsaccounts en betalingsactiviteiten. Reserveringssystemen zijn bijzonder aantrekkelijk voor aanvallers omdat ze vaak gedetailleerde klantcontactgegevens bevatten die later kunnen worden misbruikt bij phishingoperaties.