Door een beveiligingslek in de software die Apenheul voor de fotohokjes gebruikt waren de persoonlijke gegevens van bezoekers, zoals naam, e-mailadres en foto's, via internet toegankelijk. De kwetsbaarheid bevond zich in het systeem van Bitmove, dat de oplossing ook aan andere pretparken aanbiedt. Via de fotohokjes kunnen bezoekers een foto van zichzelf laten maken en hun e-mailadres opgeven. Vervolgens wordt de foto naar de bezoeker gemaild.

Beveiligingsonderzoeker Maarten Hartsuijker van securitybedrijf Classity ontdekte de kwetsbaarheid bij toeval. "Ik liep tegen het lek aan omdat de geëmbedde foto bij mij niet werkte. In de broncode zag ik een oude x-mailer staan, met bekende kwetsbaarheden. Meestal is zoiets een indicatie van weinig beveiligingsaandacht", zo laat Hartsuijker tegenover Security.NL weten. "Vervolgens zag ik een link naar een uid. Als er weinig aandacht voor beveiliging is, gaat het daar ook vaak mis. Er zat nog veel meer in volgens mij, maar ik heb ze geadviseerd om er een keer goed naar te laten kijken."

Het achterliggende systeem bleek kwetsbaar voor SQL-injection, waardoor de onderzoeker toegang tot diverse databases kreeg. Eén van de databases bevatte informatie van Apenheul en allerlei andere attractie- en pretparken die van de fotohuisjes gebruikmaken. Het ging in totaal om 500.000 records. Na ontdekking van de kwetsbaarheid waarschuwde hij zowel Apenheul als Bitmove. Het probleem werd ongeveer een week later verholpen. "Er bleek een mogelijkheid te zijn om data van de fotohuisjes te hacken, gelukkig zijn wij hier op geattendeerd en is dit probleem verholpen", aldus Apenheul op Twitter.