Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte. Nach dem Hinweis durch heise security wurde der Zugang unmittelbar geschlossen, so Ruf-Vertriebsleiter Dirk Föste.