Sicherheitslücke bei Panini:Zehntausende private Fotos standen ungeschützt im Netz

Panini-Sammelalbum

Zu jedem Fußball-Großereignis bringt Panini neue Sticker auf den Markt - und bei Kindern auf der ganzen Welt bricht das Sammelfieber aus.

(Foto: picture alliance/dpa)
  • Fotos und private Daten von Zehntausenden Panini-Kunden waren für Dritte zugänglich.
  • Die Sicherheitlücke betrifft den Service "Mypanini". Nutzer konnten eigene Bilder hochladen und sich personalisierte Sticker zuschicken lassen.
  • Für Panini könnte die Datenschutzpanne teuer werden.

Alle vier Jahre ist Panini-Zeit: Zu jeder Fußball-WM kaufen Kinder auf der ganzen Welt die Sticker, um möglichst viele der 682 Nationalspieler in ihre Sammelalben zu kleben. Für den Panini-Verlag ist es die wichtigste Zeit - und ausgerechnet jetzt passiert dem Unternehmen ein peinlicher Fehler, der persönliche Daten und Fotos von Zehntausenden Kunden öffentlich zugänglich machte.

Der Spiegel berichtet über eine schwerwiegende Sicherheitslücke beim Angebot "Mypanini". Dort können Sammler ihre eigenen Fotos oder die ihrer Kinder hochladen und damit personalisierte Motive erstellen. Die Sticker werden im Zehnerpack per Post verschickt und kosten einen Euro pro Stück. Doch die Bilder blieben nicht privat: Alle eingeloggten Nutzer konnten die Aufnahmen der anderen Kunden einsehen.

Dafür mussten sie lediglich die URL in der Adressleiste ihres Browsers ändern. Der Fehler erinnert an eine Panne beim Ticket-Großhändler Aerticket, durch den Millionen Daten von Flugreisenden jahrelang ungeschützt im Netz standen. Auch damals reichte es, eine Nummer in der URL auszutauschen, und schon sah man das Ticket eines anderen Kunden.

Dem Spiegel zufolge waren neben dem Foto auch der volle Name, das Geburtsdatum und teilweise auch der Wohnort einsehbar. Oft habe es sich um private Aufnahmen von Kindern oder sogar Kleinkindern gehandelt, mitunter mit nacktem Oberkörper oder im häuslichen Umfeld.

Für Panini könnte die Datenpanne teuer werden

Panini hat die Panne bestätigt: Der "Bug" sei intern seit zehn Tagen bekannt, die zuständigen Entwickler arbeiteten an dessen Beseitigung, sagte Giorgio Aravecchia, Paninis Direktor für Neue Medien, dem Spiegel am Mittwoch. Einen Tag später sagte er, die Lücke sei durch ein Sicherheitsupdate geschlossen worden. Das Mypanini-Portal zeigt aktuell nur eine Fehlermeldung: "Die Webseite ist momentan leider aufgrund von Wartungsarbeiten nicht verfügbar."

Nach Angaben von Aravecchia hat eine mittlere fünfstellige Zahl von Kunden bei Mypanini Sticker bestellt. Vermutlich gibt es aber noch eine Menge Nutzer, die lediglich Bilder hochgeladen, aber keine Sammelbilder gekauft haben. Deren Aufnahmen waren ebenfalls einsehbar.

Für Panini oder den technischen Dienstleister, der Mypanini entwickelt hat, könnte die Sicherheitslücke teuer werden. Der Vorfall sei "besonders problematisch, weil massenhaft Minderjährige betroffen sind", sagte der Hamburger Datenschutzbeauftragte Johannes Caspar dem Spiegel. Offenbar sei Panini der Vorschrift, "technisch und organisatorisch" für ausreichende Sicherheit der Kundendaten zu sorgen, nicht nachgekommen. Die neue EU-Datenschutzgrundverordnung sieht bei Verstößen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: