Die Buchungsseite für Legoland-Übernachtungen im bayerischen Günzburg war von einem Datenleck betroffen, durch das die Kundendaten der letzten sieben Jahre öffentlich einsehbar waren. Laut Legoland, das zur Merlin Entertainments Group gehört, waren mehrere tausend Datensätze seit Mai 2015 von dieser Datenschutzpanne betroffen. Der Grund: Vor einem halben Jahr hatte man ein neues Buchungssystem eingeführt, das den Gästen innerhalb des neuen Kundenportals deren historische Buchungsdaten zur Verfügung stellte. Seit diesem Zeitpunkt waren die Daten aus den vergangenen sieben Jahren einsehbar, wie Namen, Anschriften, gewünschtes Reisedatum wie auch die Namen von Mitreisenden. Entdeckt hatte das Ganze ein Buchender, dem aufgefallen war, dass innerhalb der URL der Buchungsbestätigung eine Nummer angegeben war. Er tauschte einfach diese Nummer gegen eine andere aus und sah die Buchungsdaten einer anderen Familie. Inzwischen ist auch dieses Buchungssystem deaktiviert und der Datenschutzverstoß der DSGVO wurde dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet.
Den vollständigen Artikel finden Sie hier: