Fremde Buchungsdaten abrufbar Sicherheitslücke bei Legoland

Buchungen von Tausenden Besuchern des bayerischen Legoland-Freizeitparks standen ungeschützt im Netz. Die Sicherheitslücke war ausgesprochen trivial.
Haupteingang zum Legoland Günzburg: Fremde Buchungen waren einfach abrufbar

Haupteingang zum Legoland Günzburg: Fremde Buchungen waren einfach abrufbar

Foto: Karl-Josef Hildenbrand/ picture alliance / dpa

Lego ist Spielzeug für Tüftler. Man kann sich zwar an die offiziellen Baupläne halten und zum Beispiel Szenen aus Harry-Potter-Filmen oder das »Star Wars«-Raumschiff Millennium Falcon zusammenstecken. Man kann aber auch die Legosteine mehrerer Sets in eine Kiste werfen, der eigenen Fantasie ihren Lauf lassen und bauen, was einem einfällt.

Umso überraschender ist, wie wenig die Betreiber des deutschen Legoland-Freizeitparks im bayerischen Günzburg mit solchen Tüftlern als Kunden rechneten. Wie das IT-Portal »heise online«  berichtet, hatte ein Besucher bei der Onlinebuchung eine Sicherheitslücke entdeckt, über die man die Daten von etlichen Tausend Legoland-Kundinnen und Kunden abfragen konnte.

Buchungslink neu zusammengesteckt

Nach der eigenen Buchung hatte der Besucher den Link zu einer Buchungsbestätigung erhalten. Doch als er sich die Internet-Adresse genau ansah, erkannte er schnell: Hier hatte die IT-Abteilung offenbar ihre Hausaufgaben nicht gemacht. Durch einfache Zahlendreher konnte er die Buchungsbestätigungen wildfremder Menschen abrufen.

Die von dem Besucher informierte »heise online«-Redaktion konnte die Panne bestätigen. Alles, was man für den Abruf von Buchungen mit den Namen, Adressen und Reisedaten anderer benötigte, war der mit einer Buchungsbestätigung verschickte Link. Man musste sich dafür nicht einloggen, es gab keine Passwortabfrage oder sonstige Sicherheitsmaßnahmen.

Tausende Buchungen betroffen

Die Recherchen zeigten: Die älteste Buchungsbestätigung, die die IT-Experten abrufen konnten, stammte aus dem Jahr 2015. Dank der fortlaufenden Nummer konnten Angreifer im Prinzip den gesamten Datenbestand herunterladen. Dazu hätten sie nur von der Bestellnummer 100001 hochzählen müssen. Die höchste Nummer, mit der der Abruf klappte, war 604104.

Nachdem die Redakteure die Betreiberfirma über das Problem informiert hatten, wurde das Buchungssystem schnell abgedichtet. Am Dienstag waren Buchungsbestätigungen nicht mehr für jedermann abrufbar. Zudem informierte das Unternehmen das Bayerische Landesamt für Datenschutzaufsicht über den Vorfall. Die Legoland-Besucher selbst werden jedoch nicht angeschrieben. Da auf der Buchungsbestätigung keine Bank- oder Kreditkartendaten aufgeführt waren, hatten die Betreiber das Risiko als zu gering erachtet.

Zufallszahlen wären sicherer

»Es kommt leider regelmäßig zu solchen trivialen Fehlern und Nachlässigkeiten, die zu vermeidbaren Datenschutzverstößen führen«, sagt »heise«-Redakteurin Marie-Claire Koch. »Fast vier Jahre nach Inkrafttreten der Datenschutz-Grundverordnung sollte so etwas eigentlich nicht mehr passieren.«

Dabei wäre es relativ einfach, solche Pannen zu vermeiden. Eine einfache Maßnahme ist es, den Kunden eine lange, zufällige Nutzer-ID zuzuweisen, mit denen sie auf ihre Daten zugreifen können. So kann zumindest nicht erraten werden, wo man die Daten anderer Kunden findet. Zusätzlich sollte der Abruf aber abgesichert sein, etwa durch ein Passwort.

Anmerkung der Redaktion: In der ersten Version dieses Textes hieß es, das Problem habe offenbar seit Jahren bestanden. Tatsächlich waren die Daten laut Legoland erst seit einem halben Jahr öffentlich einsehbar.