Datenleck im Legoland: Reisedaten tausender Kunden seit 2015 betroffen
Bei dem zur Merlin Entertainments Group gehörenden Legoland im bayerischen Günzburg waren mehrere tausend Datensätze der seit Mai 2015 getätigten Buchungen öffentlich als PDF-Dateien einsehbar. In den Dokumenten waren neben den Namen, den Anschriften der buchenden Kunden und dem gewünschten Reisezeitraum auch die Namen der Mitreisenden aufgelistet.
Aufgefallen war das Ganze einem Leser, der aufgrund einer auffälligen URL, über die er eine Buchungsbestätigung abrufen sollte, misstrauisch wurde. Die URL hatte folgendes Schema: https://mylogin.legolandholidays.de/api/buchung/document/100001/0/CONFIRMATION. Nachdem der Leser die Zahl im Link ausgetauscht hatte, sah er die Buchung einer anderen Familie.
Buchungsbestätigung für eine Übernachtung im Legoland
(Bild: Legoland)
Daraufhin wandte sich der Leser an die heise-online-Redaktion, die das Leck nachvollziehen und stichprobenartig Buchungen fremder Personen abrufen konnte. Während der Recherche kamen laufend neue Datensätze hinzu.
Viele Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
https://heise.de/investigativ
Die Dokumente mit fortlaufender Nummerierung begannen mit der Nummer 100001 und endeten mit Nummer 604104. Mithilfe eines simplen Skripts hätten Unbefugte sämtliche PDFs abgreifen können. Nachdem wir Legoland informiert hatten, funktionierten die Zugriffe auf die URLs am Folgetag nicht mehr. Einige Tage später erhielten wir eine Antwort, in der Merlin Entertainments die Deaktivierung des Buchungssystems bestätigte. Ferner sei der Datenschutzverstoß der DSGVO entsprechend beim Bayerischen Landesamt für Datenschutzaufsicht gemeldet worden.
Geringes Risiko für Betroffene
Merlin Entertainments erklärte gegenüber heise online, dass “eine umfassende Untersuchung durchgeführt und zusätzliche Sicherheitsmaßnahmen ergriffen [werden], um unbefugten Zugriff auf Buchungsdaten zukünftig zu verhindern”. Informiert hat das Unternehmen seine Kunden nicht, weil es bei der “eingehenden Risikobewertung des Datenschutzvorfalls zu dem Ergebnis gekommen [ist], dass dieser Vorfall ein geringes Risiko für die betroffenen Personen darstellt”, da kein Zugriff auf “Bank- oder Kreditkartendaten” möglich gewesen sei.
In der DSGVO steht zur Informationspflicht betroffener Personen: “Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.” Zwar gibt es viele Aussagen, ab wann ein “hohes Risiko” besteht, letztlich ist es aber die Aufgabe der Betreiber von Legoland, zu entscheiden, wann ein solcher Fall vorliegt. Ob sie mit dieser Entscheidung richtig liegen, entscheiden gegebenenfalls die Aufsichtsbehörden oder Gerichte.
Update 12.04.2022, 12:00 Uhr: Absatz mit Details zur Informationspflicht aus der DSGVO ergänzt.
(mack)
