Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.
Hatte man eine gültige ID, so genügte es, die ID um 13 zu erhöhen oder zu erniedrigen, um auf weitere Reservierungen von urlaubswilligen Jugendlichen zuzugreifen. Diese enthielten neben Namen, Anschrift, Telefonnummer, Mail-Adresse, gebuchtem Reiseziel, Dauer und Unterkunft auch Angaben über Sonderwünsche – etwa wer mit wem auf einem Zimmer zusammenwohnen will. Prinzipiell hätte man auf diese Weise die Daten mehrerer tausender Jugendlicher sammeln können. Bereits Anfang der Woche hatten Sicherheitsexperten bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren.
quelle : heise.de, hier klicken um den vollen Artikel zu lesen.