EinInfoportal

Buchungsdaten Tausender Legoland-Kunden lagen offen

Veröffentlicht: 13.04.2022
imgAktualisierung: 13.04.2022
Geschrieben von: Ricarda Eichler
Lesezeit: ca. 3 Min.
13.04.2022
img 13.04.2022
ca. 3 Min.
Legoland Deutschland
© Massimo Parisi / shutterstock.com
Bei der Umstellung des Buchungssystems kam es zu einem Datenleck. Das Risiko für Kunden wird aber als gering eingeschätzt.
Inhaltsverzeichnis

1. Grund war ein Wechsel des Buchungssystems

2. Das müssen Kunden jetzt wissen

Inhaltsverzeichnis
1. Grund war ein Wechsel des Buchungssystems
2. Das müssen Kunden jetzt wissen

Legoland Deutschland feiert in diesem Jahr sein 20-jähriges Bestehen. Doch statt Grund zum Feiern gibt es derzeit Anlass zur Sorge: Wie eine Recherche von Heise offenbarte, waren durch einen Link zur Bestellbestätigung Bestelldaten von Kunden seit 2015 offen einsehbar. Der Seitenbeitreiber, Merlin Entertainments, schaltete das Buchungssystem jetzt ab, um den Vorfall in Ruhe zu untersuchen. Die Datenschutzaufsicht wurde ebenfalls benachrichtigt. 

Grund war ein Wechsel des Buchungssystems

Ein Leser machte die Heise-Redaktion auf eine auffällige Zahlenfolge innerhalb der URL aufmerksam. Wie einige Stichproben aufzeigten, war die besagte Zahlenfolge direkt an die Buchung des Lesers gekoppelt und durch einen Austausch dieser ließen sich die Bestellbestätigungen unzähliger weiterer Kunden einsehen.

Die fortlaufenden Nummern sollen von 100001 bis 604104 gelaufen sein, wodurch sich Rückschlüsse über den betroffenen Zeitraum schließen ließen. Nach einer Meldung an Merlin Entertainments wurde zunächst das Buchungssystem deaktiviert. 

Wie eine anfängliche Untersuchung des Vorfalls bereits ergab, geht das Datenleck auf eine Umstellung des Buchungssystems zurück, welche das Unternehmen vor einem halben Jahr vornahm. Das neue Buchungssystem sollte wiederkehrenden Kunden ihre zurückliegenden Buchungen anzeigen können.

Mehr zum Thema:

Das müssen Kunden jetzt wissen

Wie das Unternehmen verlauten ließ, enthielten die einsehbaren Daten Namen, Anschrift, Reisedatum sowie die Namen mitreisender Personen. Zahlungsdaten seien nicht einsehbar gewesen. Eine umfassende Risikobewertung des Datenschutzvorfalls sei „zu dem Ergebnis gekommen, dass dieser Vorfall ein geringes Risiko für die betroffenen Personen darstellt“, zitiert Heise das Unternehmen. Weiterhin fanden Cybersicherheitsexperten, dem Südwestrundfunk zufolge, bisher keinerlei Hinweise darauf, dass ein Missbrauch der offenen Daten stattfand. 

Aufgrund des vergleichsweise geringen Umfangs der kompromittierten Daten besteht laut Merlin Entertainments kein Grund zur Sorge. Eine zusätzliche persönliche Information an alle Kunden ist nicht geplant. 

Sie wollen immer über die neuesten Entwicklungen im Online-Handel informiert sein? Mit unseren Newslettern erhalten Sie die wichtigsten Top-News und spannende Hintergründe direkt in Ihr E-Mail-Postfach – Jetzt abonnieren!
Ricarda Eichler

Ricarda Eichler

Expert/in für: Nachhaltigkeit

Veröffentlicht: 13.04.2022
img Letzte Aktualisierung: 13.04.2022
Lesezeit: ca. 3 Min.
Artikel weiterempfehlen
KOMMENTARE
0 Kommentare
Kommentar schreiben