Start Nachrichten Datenleck im Legoland: Reisedaten tausender Kunden seit 2015 betroffen

Datenleck im Legoland: Reisedaten tausender Kunden seit 2015 betroffen

11
0


Bei dem zur Merlin Entertainments Group gehörenden Legoland im bayerischen Günzburg waren mehrere tausend Datensätze der seit Mai 2015 getätigten Buchungen öffentlich als PDF-Dateien einsehbar. In den Dokumenten waren neben den Namen, den Anschriften der buchenden Kunden und dem gewünschten Reisezeitraum auch die Namen der Mitreisenden aufgelistet.

Aufgefallen war das Ganze einem Leser, der aufgrund einer auffälligen URL, über die er eine Buchungsbestätigung abrufen sollte, misstrauisch wurde. Die URL hatte folgendes Schema: https://mylogin.legolandholidays.de/api/buchung/document/100001/0/CONFIRMATION.de. Nachdem der Leser die Zahl im Link ausgetauscht hatte, sah er die Buchung einer anderen Familie.


Buchungsbestätigung für eine Übernachtung im Legoland

Buchungsbestätigung für eine Übernachtung im Legoland

Buchungsbestätigung für eine Übernachtung im Legoland

(Bild: Legoland)

Daraufhin wandte sich der Leser an die heise-online-Redaktion, die das Leck nachvollziehen und stichprobenartig Buchungen fremder Personen abrufen konnte. Während der Recherche kamen laufend neue Datensätze hinzu.

Viele Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Die Dokumente mit fortlaufender Nummerierung begannen mit der Nummer 100001 und endeten mit Nummer 604104. Mithilfe eines simplen Skripts hätten Unbefugte sämtliche PDFs abgreifen können. Nachdem wir Legoland informiert hatten, funktionierten die Zugriffe auf die URLs am Folgetag nicht mehr. Einige Tage später erhielten wir eine Antwort, in der Merlin Entertainments die Deaktivierung des Buchungssystems bestätigte. Ferner sei der Datenschutzverstoß der DSGVO entsprechend beim Bayerischen Landesamt für Datenschutzaufsicht gemeldet worden.

Merlin Entertainments erklärte gegenüber heise online, dass „eine umfassende Untersuchung durchgeführt und zusätzliche Sicherheitsmaßnahmen ergriffen [werden], um unbefugten Zugriff auf Buchungsdaten zukünftig zu verhindern“. Informiert hat das Unternehmen seine Kunden nicht, weil es bei der „eingehenden Risikobewertung des Datenschutzvorfalls zu dem Ergebnis gekommen [ist], dass dieser Vorfall ein geringes Risiko für die betroffenen Personen darstellt“, da kein Zugriff auf „Bank- oder Kreditkartendaten“ möglich gewesen sei.


(mack)

Zur Startseite



Quelle

Vorheriger ArtikelAndrés Orozco-Estrada tritt als Chef der Wiener Symphoniker zurück
Nächster ArtikelPS5 bestellen: PlayStation-Bundle bei MediaMarkt & Saturn vorbestellbar

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein