Bei 1und1 gibt/gab es eine riesen Sicherheitslücke. Mit dieser ist es möglich auf die Einzelverbindungsnachweise der 1und1-Kunden zuzugreifen.

Durch simples ändern der Kunden-ID Rechungs-ID in der URL konnte man auf fremde Kundendaten zugreifen. 1und1 hat zur Schadensbegrenzung erstmal die Funktion des Einzelverbindungsnachweis deaktiviert, bis die Sicherheitslücke geschlossen ist.

Da fehlen einem die Worte...

Update 22:00 Uhr: sag_ich_lieber_nicht is right - es lag nicht an der Kunden-ID, sondern am Parameter select.RechnungID - wurde hier eine richtige ID übergeben, konnte man die Rechung eines anderen Kunden einsehen.