Legoland: Kundendaten jahrelang öffentlich
Über das Buchungssystem des Legolands im bayerischen Günzburg konnten die Daten mehrerer Tausend Besucherinnen und Besucher ohne Beschränkung abgefragt werden. Wie die Nachrichtenseite Heise berichtet, konnten einzelne Kunden-Buchungen als PDF-Dateien über das Internet heruntergeladen werden. Die Dokumente gaben Namen, Anschrift, Reisezeitraum und Mitreisende preis.
Die Sicherheitslücke soll bereits seit der Einführung des Buchungssystems im Jahr 2015 bestanden haben. Es ist laut Heise davon auszugehen, dass alle Kundinnen und Kunden betroffen sind, die die Buchungsplattform seitdem genutzt haben.
Jeder, der zählen kann
Die Buchungsunterlagen waren nicht durch Passwort-Abfrage oder ähnliche Sicherheitsmechanismen geschützt. Stattdessen waren sie offen über die richtigen Internetadressen einsehbar: Kunden erhielten eine URL, über die sie die Buchungsunterlagen abrufen konnten. Diese Adresse enthielt unter anderem eine Zahl zwischen 100001 und 604104. Änderte man die eigene Nummer auf gut Glück, standen die Chancen gut, Buchungen von Fremden angezeigt zu bekommen.
Die Redaktion berichtet, dass auch während der Recherchen “laufend” neue Datensätze abrufbar waren. “Mithilfe eines simplen Skripts hätten Unbefugte sämtliche PDFs abgreifen können”, schreiben die Autoren.
Keine Infos für Betroffene
Der Freizeitpark und das Buchungssystem werden von der britischen Merlin Entertainments Group betrieben. Die Redakteure informierten das Legoland über den Fund, woraufhin die Buchungsübersichten am Folgetag nicht mehr abrufbar waren. Wenige Tage später habe Merlin Entertainments bestätigt, das gesamte Buchungssystem deaktiviert zu haben. Das Bayerische Landesamt für Datenschutzaufsicht sei gemäß der Datenschutzgrundverordnung (DSGVO) über den Vorfall informiert worden.
Zukünftig sollen Sicherheitsmaßnahmen unbefugten Zugriff auf fremde Daten verhindern. Derzeit ist nicht klar, ob Unbefugte auf die Daten zugegriffen haben.
Informieren möchte Merlin Entertainments die zahlreichen betroffenen Kunden indes nicht, gab die Firma bekannt. Denn das Unternehmen ist der Ansicht, dass nur ein “geringes Risiko” für die betroffenen Personen bestehe, da keine Bank- oder Kreditkartendaten einsehbar gewesen seien. (hcz)