Das Internetportal „Urlaubstours“ gehört der Urlaubstour GmbH, die eine Tochtergesellschaft der Unister Holding GmbH ist. Laut „Computer Bild“ vom 4. Januar 2013 sei es für Fremde möglich, die Flugreisedaten von Passagieren im Internet einzusehen und zu ändern: „Ryanair bietet seinen Kunden den Service an, über das Internet mit einer gültigen Reservierungsnummer und einer registrierten E-Mail-Adresse alle Buchungen einzusehen, die unter dieser Adresse getätigt wurden.

(...) Urlaubstours bucht offenbar für Tausende seiner Kunden Flüge bei Ryanair über jeweils dieselbe E-Mail-Adresse. Das Resultat: Über diese eine E-Mail-Adresse in Verbindung mit einem beliebigen gültigen Reservierungscode sind die Buchungen von nicht nur einer, sondern aktuell von über 4.700 Personen online einseh- und veränderbar.“
Seit wann diese Möglichkeit bestehe, sei nicht klar. In einer Stellungnahme von Unister zum Thema Datenschutz vom 19. Dezember 2012 heißt es: „Entgegen anderslautender Medienberichte, ist die Datensicherheit bei den Portalen von Unister gewährleistet. Seit Februar 2012 ist das Sicherheitskonzept sogar mit dem Payment Card Industry Data Security Standard (PCI DSS) zertifiziert. PCI DSS gehört zu den schärfsten Sicherheitsvorschriften im elektronischen Banken- und Zahlungsverkehr weltweit.“ Dafür habe Unister 18 Monate lang alle sicherheitsrelevanten Strukturen überprüfen lassen, was mehr als zwei Millionen Euro gekostet habe.
„Nur wenige Unternehmen haben bisher einen derartigen Aufwand auf sich genommen und sich zertifizieren lassen. Damit dieser hohe Qualitätsstandard gesichert bleibt, muss sich das Unternehmen alle drei Monate umfangreichen Prüfungen einer unabhängigen Datenschutzorganisation unterziehen. In den letzten Überprüfungen wurde Unister die Datensicherheit vollumfänglich bestätigt“, ist auch in der Stellungnahme zu lesen.
„Computer Bild“ zufolge beschuldigen sich Ryanair und Unister gegenseitig, für dieses Datenleck verantwortlich zu sein.