Du könntest auch einfach versuchen, die Lücken selbst zu finden. Jetzt weißt du ja, dass es welche gibt. Etwas in den Logs umsehen, dann wirst du bestimmt etwas finden.

Wie die Rechtslage im Detail aussieht, weiß ich nicht, IMHO ist es erst dann ein Verstoß gegen das Gesetz, wenn trotz ausreichender Sicherung Zugriff auf irgendwelche Daten erlangt wird. Wenn irgendwo auf dem Server nen DB-Dump liegt, ist das natürlich keine Straftat. Höchstens von dir als Anbieter, da du speziell im Bereich Datenschutz etwas zum Schutz der Daten vor unbefugten beitragen musst.

Wie gesagt: Ich würde mich damit abfinden, die Löcher zu schließen. Es entstand ja kein Schaden, also freu dich über den Tipp und lass gut sein ;)