Freizeitpark: Datenleck bei Legoland

Tausende Gäste des Legolandes im bayrischen Günzburg sind von einem Datenleck betroffen. Die Daten wurden mit einem simplen Trick abgerufen.

Artikel veröffentlicht am ,
Freizeitpark Legoland
Freizeitpark Legoland (Bild: Legoland)

Die persönlichen Daten von Übernachtungsgästen des Freizeitparks Legoland im bayrischen Günzburg waren über das Internet abrufbar. Während eine Sprecherin von Legoland Deutschland betonte, dass die Daten "zu keiner Zeit öffentlich einsehbar" gewesen seien, erklärte das Onlinemagazin Heise, dass die Daten auch ohne einen Login im Kundenbereich abrufbar waren. Dazu wurde ausschließlich eine URL benötigt, in der eine Zahl abgeändert werden musste, um die persönlichen Daten von Legoland-Kunden einzusehen.

Stellenmarkt
  1. SAP FICO Berater (m/w/x)
    über duerenhoff GmbH, Raum Hannover
  2. IT-Anwendungsbetreuer/Web-Ad- ministrator (m/w/d)
    Bayerische Versorgungskammer, München
Detailsuche

Demnach hatte Legoland vor rund einem halben Jahr ein neues Buchungssystem eingeführt, durch das die Datenpanne entstand. Dieses stellte "Gästen innerhalb des neuen Kundenportals ihre historischen Buchungsdaten zur Verfügung", so Legoland. Über diese Funktion konnten mehrere tausend PDF-Dateien mit persönlichen Buchungsdaten abgerufen werden.

In den Dokumenten seien die Namen, Anschriften und der Reisezeitraum sowie die Namen aller Mitreisenden aufgelistet gewesen, heißt es in dem Bericht. "Zu keinem Zeitpunkt wurde auf Bank- oder Kreditkartendaten zugegriffen oder diese entwendet", erklärte die Sprecherin des Legolandes.

Aufgefallen war das Datenleck einem Heise-Leser, der die URL seiner Buchungsbestätigung auffällig fand und die enthaltene ID hochzählte. Dadurch konnte er die Daten von anderen Legoland-Kunden einsehen. Das IDs zu Rechnungen, Corona-Schnelltestergebnissen oder anderen persönlichen Daten in URLs aufsteigend durchnummeriert werden, ist ein simples, aber immer wieder auftretendes Problem, das zu massiven Datenlecks führt.

Legoland deaktiviert Buchungssystem, will Betroffene jedoch nicht informieren

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
Weitere IT-Trainings

Nachdem Heise Legoland Günzburg beziehungsweise die dahinterstehende Merlin Entertainments Group auf das Datenleck aufmerksam gemacht hatte, wurde das Buchungssystem deaktiviert und der bayrische Datenschutzbeauftragte informiert. Legoland geht davon aus, dass das Datenleck nur im Rahmen der Recherche genutzt wurde. Deshalb sehe man für die Betroffenen nur ein geringes Risiko und werde sie nicht informieren, erklärte die Legoland-Sprecherin.

Das Bayerische Landesamt für Datenschutzaufsicht in Ansbach bestätigte der DPA, dass der Vorfall untersucht werde. "Unsere Aufklärungsmaßnahmen zielen derzeit vor allem auf die Frage, ob und in welchem Umfang Zugriffe auf personenbezogene Daten mit dem Ziel einer missbräuchlichen Verwendung stattgefunden haben", erklärte Präsident Michael Will. Die Untersuchung laufe noch, so dass derzeit keine weiteren Informationen gegeben werden könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiter & SMIC
Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
    Arclight Rumble
    Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

    Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
    Von Peter Steinlechner

  3. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /