Datalek bij Legoland Deutschland: gegevens hotelgasten op straat
13-04-2022, 12.43 uur
Door een datalek op de website van Legoland Deutschland waren de namen en adresgegevens van hotelgasten maandenlang eenvoudig te achterhalen. Het gaat om boekingen die teruggaan tot 2015. Het lek is inmiddels verholpen.
De zaak kwam aan het licht toen een gast de URL van zijn boekingsbevestiging niet vertrouwde. Door een nummer in het adres te veranderen kreeg hij inderdaad toegang tot de boeking van iemand anders. De gast nam contact op met de website Heise Online, die op zijn beurt Legoland informeerde.
Een dag later was het lek gedicht. Het probleem zat volgens Legoland in een nieuw computersysteem dat zes maanden geleden in gebruik is genomen. Kwaadwillenden konden met een eenvoudig script vele duizenden boekingen onderscheppen uit de afgelopen zeven jaar.
Risico
Naast de naam en het adres van de persoon die had gereserveerd, waren ook de reisperiode en de namen van medereizigers zichtbaar. Toch heeft moederbedrijf Merlin Entertainments getroffen gasten niet geïnformeerd. Omdat er geen bank- of creditcardgegevens zijn gelekt, zou het risico voor hen laag zijn.
Merlin gaat het incident wel onderzoeken. Ook worden er maatregelen getroffen om herhaling te voorkomen.