Home / News / Software & Apps
News

Legoland: Kundendaten durch Datenleck im Internet

Über ein Datenleck in der Buchungsseite für Legoland in Bayern waren Kundendaten seit mehreren Jahren für jedermann einsehbar.
Denise Bergert
Von Denise Bergert
Autorin, PC-WELT
Datenleck in der Legoland-Buchungsseite.
Image: legoland.de

Die Kollegen von heise.de haben in dieser Woche ein Datenleck in der Buchungsseite des Legoland im bayerischen Günzberg aufgedeckt. Seit sieben Jahren waren durch diese Sicherheitslücke die Kundendaten von Reisenden öffentlich im Internet einsehbar.

Leser entdeckt Datenleck in Online-Portal

Die Kundendaten konnten von jedem im PDF-Format abgerufen werden. In den Buchungen fanden sich neben dem geplanten Reisezeitraum auch der Name und die Anschrift des Buchenden sowie die Namen der Mitreisenden. Aufgefallen war das Datenleck einem Leser von heise.de. Er hatte nach seiner Buchung im Legoland einen Link für seine Buchungsbestätigung als PDF erhalten. Er schaute sich die zugehörige URL genauer an und fand heraus, dass sich durch die Anpassung einer Zahl in diesem Link auch die Buchungsbestätigungen anderer Kunden aufrufen ließen.

Betrüger hätten Daten auslesen können

Die vom Legoland erstellten PDF-Dateien verfügten über eine fortlaufende Nummer, die sich mit jeder Buchung erhöht. Über ein einfaches Skript hätten Betrüger alle PDF-Dateien auslesen können und wären so an unzählige Postadressen gekommen. Nachdem der Legoland-Betreiber Merlin Entertainments Group über die Datenpanne informiert wurde, ging die Buchungsseite umgehend offline. Laut dem Unternehmen wurde das Leck dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet.

Betreiber untersucht Datenleck

Gegenüber heise.de erklärt Merlin Entertainments, dass eine „umfassende Untersuchung“ durchgeführt worden sei. Das Unternehmen habe zudem „zusätzliche Sicherheitsmaßnahmen“ ergriffen. Da keine Bank- oder Kreditkartendaten einsehbar gewesen seien, wolle man die betroffenen Kunden nicht über das Datenleck informieren.

Heise verweist darauf, dass laut DSGVO eine Informationspflicht bestehe, wenn ein “hohes Risiko” für die betroffenen Personen bestehe. Ob ein solches “hohes Risiko” vorliege, entscheide in dem Fall der Betreiber von Legoland. Die Aufsichtsbehörden und Gerichte könnten dann entscheiden, ob Legoland die Nutzer informieren hätte müssen.

vgwort

, Autorin

Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.

Aktuelle Beiträge von Denise Bergert: