Freizeitpark: Datenleck bei Legoland

Tausende Gäste des Legolandes im bayrischen Günzburg sind von einem Datenleck betroffen. Die Daten wurden mit einem simplen Trick abgerufen.

Artikel veröffentlicht am ,
Freizeitpark Legoland
Freizeitpark Legoland (Bild: Legoland)

Die persönlichen Daten von Übernachtungsgästen des Freizeitparks Legoland im bayrischen Günzburg waren über das Internet abrufbar. Während eine Sprecherin von Legoland Deutschland betonte, dass die Daten "zu keiner Zeit öffentlich einsehbar" gewesen seien, erklärte das Onlinemagazin Heise, dass die Daten auch ohne einen Login im Kundenbereich abrufbar waren. Dazu wurde ausschließlich eine URL benötigt, in der eine Zahl abgeändert werden musste, um die persönlichen Daten von Legoland-Kunden einzusehen.

Stellenmarkt
  1. DevOps System Engineer (w/m/d)
    DENIC eG, Frankfurt am Main
  2. IT Project Architect / Scrum Master (gn)
    Getriebebau NORD GmbH & Co. KG, Bargteheide bei Hamburg
Detailsuche

Demnach hatte Legoland vor rund einem halben Jahr ein neues Buchungssystem eingeführt, durch das die Datenpanne entstand. Dieses stellte "Gästen innerhalb des neuen Kundenportals ihre historischen Buchungsdaten zur Verfügung", so Legoland. Über diese Funktion konnten mehrere tausend PDF-Dateien mit persönlichen Buchungsdaten abgerufen werden.

In den Dokumenten seien die Namen, Anschriften und der Reisezeitraum sowie die Namen aller Mitreisenden aufgelistet gewesen, heißt es in dem Bericht. "Zu keinem Zeitpunkt wurde auf Bank- oder Kreditkartendaten zugegriffen oder diese entwendet", erklärte die Sprecherin des Legolandes.

Aufgefallen war das Datenleck einem Heise-Leser, der die URL seiner Buchungsbestätigung auffällig fand und die enthaltene ID hochzählte. Dadurch konnte er die Daten von anderen Legoland-Kunden einsehen. Das IDs zu Rechnungen, Corona-Schnelltestergebnissen oder anderen persönlichen Daten in URLs aufsteigend durchnummeriert werden, ist ein simples, aber immer wieder auftretendes Problem, das zu massiven Datenlecks führt.

Legoland deaktiviert Buchungssystem, will Betroffene jedoch nicht informieren

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Nachdem Heise Legoland Günzburg beziehungsweise die dahinterstehende Merlin Entertainments Group auf das Datenleck aufmerksam gemacht hatte, wurde das Buchungssystem deaktiviert und der bayrische Datenschutzbeauftragte informiert. Legoland geht davon aus, dass das Datenleck nur im Rahmen der Recherche genutzt wurde. Deshalb sehe man für die Betroffenen nur ein geringes Risiko und werde sie nicht informieren, erklärte die Legoland-Sprecherin.

Das Bayerische Landesamt für Datenschutzaufsicht in Ansbach bestätigte der DPA, dass der Vorfall untersucht werde. "Unsere Aufklärungsmaßnahmen zielen derzeit vor allem auf die Frage, ob und in welchem Umfang Zugriffe auf personenbezogene Daten mit dem Ziel einer missbräuchlichen Verwendung stattgefunden haben", erklärte Präsident Michael Will. Die Untersuchung laufe noch, so dass derzeit keine weiteren Informationen gegeben werden könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
    Strange New Worlds Folge 1 bis 3
    Star Trek - The Latest Generation

    Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
    Eine Rezension von Oliver Nickel

  2. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  3. Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
    Kitty Lixo
    Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

    Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /