Die Entdeckung der Sicherheitslücke kommt für den Verlag äußerst ungelegen. Denn WM-Zeit ist auch Panini-Zeit. Kinder weltweit versuchen, möglichst alle 682 Nationalspieler in ihr Sammelalbum zu bekommen. Aber mit denen hat die jetzige Panne nur bedingt zu tun: Denn die betrifft den Dienst Mypanini. Bei diesem konnten die Nutzer eigene Bilder hochladen, um daraus personalisierte Stickersets anfertigen zu lassen.
Durch einen Bug waren allerdings auch die hochgeladenen Bilder anderer Mypanini-Nutzer sichtbar – sowie deren vollständiger Name, Geburtsdatum oder sogar Adresse. Zahlungsrelevante Daten waren laut Panini allerdings nicht betroffen, wie der Spiegel berichtet. Sonderlich viel technisches Vermögen hat es für den Zugriff nicht gebraucht. Stattdessen genügte es, lediglich die URL in der Adressleiste zu ändern, um in ein fremdes Kundenprofil zu springen.
Die Datenpanne ist auch daher brisant, da unter den einsehbaren Daten auch zahlreiche Bilder von Minderjährigen waren. Ob die Bilder und Daten möglicherweise gezielt abgegriffen wurden, ist soweit nicht bekannt. Sicher ist nur: Zehntausende Profile waren theoretisch zugänglich. Paninis Direktor für Neue Medien hatte das Datenleck zwischenzeitlich bestätigt und bekannt gegeben, dass es durch ein Sicherheitsupdate geschlossen werden konnte. Vorerst ist der Service nicht verfügbar.
Für Panini könnte der Vorfall neben einem Image-Schaden auch rechtliche Konsequenzen haben. Denn bei dem Datenleck habe Panini die Kundendaten nicht ausreichend gesichert, wie der Hamburger Datenschutzbeauftrage Johannes Caspar dem Spiegel sagte. Daher müsste Panini laut den neuen Regeln der DSGVO mit einem Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes rechnen.